Compatibilidad del inicio de sesión único (SSO) con los adaptadores de WCF
Puede configurar Inicio de sesión único empresarial (SSO) para usarlo con una ubicación de recepción WCF o un puerto de envío mediante la consola de administración de BizTalk. En este tema se describe el funcionamiento de SSO con los adaptadores de WCF.
En un entorno empresarial, donde el usuario interactúa con varios sistemas y aplicaciones, es muy posible que el entorno no mantenga el contexto de usuario en varios procesos, productos y equipos. Este contexto de usuario es crucial para proporcionar funciones de inicio de sesión único (SSO), como es necesario para comprobar quién inició la solicitud original. Para solucionar este problema, el inicio de sesión único (SSO) proporciona un vale de SSO (no un vale Kerberos) que las aplicaciones pueden utilizar para obtener las credenciales que se corresponden con el usuario que realizó la solicitud original.
Cuando un adaptador de recepción recibe un mensaje, el adaptador puede solicitar un vale de SSO de un servidor SSO. Este vale cifrado contiene la identidad de Windows del usuario que realizó la solicitud y un período de tiempo de espera. Después de adquirirlo, se agrega como propiedad al mensaje entrante. Cuando un adaptador de envío transmite un mensaje, el adaptador se pone en contacto con un servidor de SSO con el vale de SSO emitido y un nombre de aplicación afiliada para el que el adaptador está intentando recuperar una credencial. El servidor de SSO busca la credencial de usuario para la aplicación afiliada de destino y devuelve la credencial al adaptador de envío, que la usa para enviar un mensaje autenticado de forma adecuada a la aplicación afiliada.
Compatibilidad del Inicio de sesión único (SSO) con las ubicaciones de recepción WCF
La configuración de seguridad aplicada, combinada con el tipo de adaptador de WCF usado para una ubicación de recepción, decide si el adaptador de recepción WCF puede emitir vales SSO. Para que el adaptador de recepción WCF envíe un token SSO, los clientes de WCF deben enviar una credencial que el adaptador pueda suplantar. La suplantación es la capacidad de una aplicación de servidor para tomar la identidad del cliente. La credencial debe asignarse a una cuenta de usuario de Windows válida para una suplantación adecuada.
Nota
En el caso de la configuración de seguridad y de los adaptadores de WCF que no solicitan a los clientes el envío de credenciales para la suplantación, puede emitir vales SSO con cualquier tipo de credenciales que los clientes envíen en un componente de canalización de recepción personalizado. Para obtener más información sobre cómo controlar los vales de SSO en los componentes de canalización de recepción, consulte el componente de canalización de ejemplo, InPipelineComp, incluido en Inventario de archivos para la solución orientada a servicios.
Compatibilidad del inicio de sesión único (SSO) con la ubicación de recepción WCF-BasicHttp
El adaptador de recepción WCF-BasicHttp puede emitir un vale de SSO desde el servidor de SSO sólo en las configuraciones de seguridad que se muestran en la siguiente tabla.
Nota
Para obtener más información sobre cómo asignar un certificado a una cuenta de usuario de Windows, vea "Asignación de certificados a cuentas de usuario" en https://go.microsoft.com/fwlink/?LinkId=87478.
| Modo de seguridad | Tipo de credenciales de cliente de transporte | Tipo de credenciales de cliente de mensajes |
|---|---|---|
| Transporte | Básico | N/D |
| Transporte | Digest | N/D |
| Transporte | Ntlm | N/D |
| Transporte | Windows | N/D |
| Transporte | Certificado | N/D |
| Message | N/D | UserName |
| Message | N/D | Certificado |
| TransportWithMessageCredential | N/D | Certificado |
| TransportWithMessageCredential | N/D | UserName |
| TransportCredentialOnly | Básico | N/D |
| TransportCredentialOnly | Digest | N/D |
| TransportCredentialOnly | Ntlm | N/D |
| TransportCredentialOnly | Windows | N/D |
| TransportCredentialOnly | Certificado | N/D |
Compatibilidad del inicio de sesión único (SSO) con la ubicación de recepción WCF-WSHttp
El adaptador de recepción WCF-WSHttp puede emitir un vale de SSO desde el servidor de SSO sólo en las configuraciones de seguridad que se muestran en la siguiente tabla.
| Modo de seguridad | Tipo de credenciales de cliente de transporte | Tipo de credenciales de cliente de mensajes |
|---|---|---|
| Transporte | Básico | N/D |
| Transporte | Digest | N/D |
| Transporte | Ntlm | N/D |
| Transporte | Windows | N/D |
| Transporte | Certificado | N/D |
| Message | N/D | UserName |
| Message | N/A | Windows |
| Message | N/D | Certificado |
| TransportWithMessageCredential | N/A | Windows |
| TransportWithMessageCredential | N/D | Certificado |
| TransportWithMessageCredential | N/D | UserName |
Compatibilidad del inicio de sesión único (SSO) con la ubicación de recepción WCF-NetTcp
El adaptador de recepción WCF-NetTcp puede emitir un vale de SSO desde el servidor de SSO sólo en las configuraciones de seguridad que se muestran en la siguiente tabla.
| Modo de seguridad | Tipo de credenciales de cliente de transporte | Tipo de credenciales de cliente de mensajes |
|---|---|---|
| Transporte | Windows | N/D |
| Transporte | Certificado | N/D |
| Message | N/D | Certificado |
| Message | N/A | Windows |
| Message | N/D | UserName |
| TransportWithMessageCredential | N/D | Certificado |
| TransportWithMessageCredential | N/A | Windows |
| TransportWithMessageCredential | N/D | UserName |
Single Sign-On Compatibilidad con la ubicación de recepción de WCF-NetNamedPipe
El adaptador de recepción WCF-NetNamedPipe puede emitir un vale de SSO desde el servidor de SSO sólo en las configuraciones de seguridad que se muestran en la siguiente tabla.
| Modo de seguridad | Tipo de credenciales de cliente de transporte | Tipo de credenciales de cliente de mensajes |
|---|---|---|
| Transporte | N/D | N/D |
Compatibilidad del inicio de sesión único (SSO) con la ubicación de recepción WCF-Custom and the WCF-CustomIsolated
Para que las ubicaciones de recepción WCF-Custom y WCF-CustomIsolated emitan vales de SSO, la configuración de seguridad usada en las ubicaciones de recepción requiere que los clientes de WCF envíen las credenciales que se pueden suplantar mediante Windows Communication Foundation. WCF admite la suplantación de distintos tipos de credenciales de clientes. Para obtener más información sobre los tipos de credenciales que WCF admite para la suplantación, vea "Delegación y suplantación con WCF" en https://go.microsoft.com/fwlink/?LinkId=87476.
Compatibilidad del inicio de sesión único (SSO) con los puertos de envío WCF
En el caso de los puertos de envío WCF, puede especificar el nombre de una aplicación afiliada que se va a usar para SSO sólo en la configuración de seguridad mostrada en la siguiente tabla.
| Modo de seguridad | Tipo de credenciales de cliente de transporte | Tipo de credenciales de cliente de mensajes |
|---|---|---|
| Transporte | Digest | N/D |
| Transporte | Básico | N/D |
| Message | N/D | UserName |
Nota
Para que un puerto de envío de WCF valide y canjee correctamente un vale de SSO, las propiedades de contexto SSOTicket y OriginatorSID deben estar disponibles en un mensaje que se enviará. Una ubicación de recepción con inicio de sesión único habilitado puede promocionar estas propiedades desde una cuenta de Windows del remitente.