Información general sobre la programación con inicio de sesión único
Un proceso empresarial apoyado en diferentes aplicaciones probablemente necesite afrontar el reto de trabajar con distintos dominios de seguridad. El acceso a una aplicación en un sistema operativo de Microsoft Windows puede requerir un conjunto de credenciales de seguridad, mientras que el acceso a una aplicación en un gran sistema (mainframe) IBM puede requerir credenciales diferentes. Tratar con esta profusión de credenciales es difícil para los usuarios y puede suponer un desafío aún mayor para automatizar los procesos. Para solucionar este problema, BizTalk Server incluye Enterprise Single Sign-On (SSO). SSO permite asignar un Id. de usuario de Windows a credenciales de usuario de otros sistemas. Este servicio puede facilitar los procesos empresariales que utilizan aplicaciones en sistemas diversos.
Para usar el SSO, un administrador define las aplicaciones afiliadas, cada una de las cuales representa un sistema o aplicación ajenos a Windows. Una aplicación afiliada puede ser una aplicación de sistema de control de información del cliente (CICS) que se ejecute en un gran sistema (mainframe) IBM, un sistema SAP ERP que se ejecute en Unix o cualquier otro tipo de software. Cada una de estas aplicaciones tiene su propio mecanismo de autenticación, por lo que requiere sus propias credenciales exclusivas.
SSO almacena una asignación cifrada entre el Id. de un usuario de Windows y las credenciales asociadas de una o más aplicaciones afiliadas. Estos pares vinculados se almacenan en una base de datos de SSO. SSO usa la base de datos de SSO de dos maneras. La primera manera, denominada Inicio de sesión único iniciado por Windows, usa el identificador de usuario para determinar a qué aplicaciones afiliadas tiene acceso el usuario. Por ejemplo, una cuenta de usuario de Windows podría estar vinculada con credenciales que conceden acceso a una base de datos DB2 que se ejecuta en un servidor IBM i remoto. La segunda forma, denominada inicio de sesión único iniciado por el host, actúa inverso: determinar qué aplicaciones remotas tienen acceso a un identificador de usuario especificado y los privilegios que van con esa cuenta. Por ejemplo, una aplicación remota podría vincularse a credenciales que den acceso a una cuenta de usuario que tenga privilegios de administración en una red de Windows.
Tenga en cuenta que el SSO también incluye herramientas de administración para realizar varias operaciones. Todas las operaciones efectuadas en la base de datos de SSO se auditan; por ejemplo, se proporcionan herramientas que permiten al administrador supervisar estas operaciones y establecer varios niveles de auditoría. Otras herramientas permiten a un administrador deshabilitar una aplicación afiliada particular, activar y desactivar una asignación individual para un usuario y llevar a cabo otras funciones. Además, hay un programa cliente que permite a los usuarios finales configurar sus propias credenciales y asignaciones.
Uno de los requisitos administrativos para el inicio de sesión único (SSO) es que el sistema local conozca las credenciales necesarias para iniciar sesión en un sistema remoto. Del mismo modo, el sistema remoto debe conocer las credenciales del sistema local. Por lo tanto, cuando actualice sus credenciales, como por ejemplo la contraseña en el equipo local, también debe informar a los sistemas remotos de que lo ha hecho. El componente que diseña que sincroniza las contraseñas en una empresa se denomina adaptador de sincronización de contraseñas.
En esta sección
Interfaz de inicio de sesión único
Aplicaciones de inicio de sesión único
Lo que debe conocer antes de programar el inicio de sesión único