Supporto Single Sign-On per l'adapter SOAP
È possibile usare la console di amministrazione BizTalk Server per configurare Enterprise Single Sign-On (SSO) da usare con il percorso di ricezione SOAP o la porta di invio. In questo argomento viene descritto il funzionamento del servizio SSO con l'adapter SOAP.
Supporto Single Sign-On per gli indirizzi di ricezione SOAP
Le posizioni di ricezione SOAP supportano due versioni di SSO, BizTalk Server Enterprise SSO e Microsoft SharePoint Portal Server SSO. Per abilitare il supporto per SharePoint Portal Server SSO eseguire la Pubblicazione guidata servizi Web BizTalk. Per altre informazioni sull'abilitazione dell'accesso SSO SharePoint Portal Server, vedere Pubblicazione di servizi Web. Abilitare BizTalk Enterprise Single Sign-On utilizzando le pagine delle proprietà per l'indirizzo di ricezione SOAP. Per altre informazioni sull'abilitazione dell'accesso SSO Enterprise per la posizione di ricezione SOAP, vedere Come configurare una posizione di ricezione SOAP.
Supporto Enterprise SSO per gli indirizzi di ricezione SOAP
Internet Information Services (IIS) riceve una richiesta SOAP da un client Web, autentica l'utente e trasmette l'ID di sicurezza (SID) all'adapter SOAP. Se IIS utilizza il metodo di autenticazione digest, di base o l'autenticazione integrata di Windows, l'adapter SOAP chiama l'archivio credenziali SSO per ottenere un ticket crittografato basato sull'utente autenticato. Questo ticket viene archiviato come proprietà SSOTicket nella proprietà di contesto del messaggio.
Nello scenario di tipo pass-through, il motore di messaggistica BizTalk indirizza il messaggio al database MessageBox. Quando un adapter di trasmissione riceve il messaggio dal database MessageBox, chiama il metodo RedeemTicket con il ticket crittografato insieme al nome dell'applicazione per recuperare le credenziali di sicurezza per l'applicazione dall'archivio SSO. L'adapter di trasmissione utilizza quindi le credenziali esterne per connettersi all'applicazione ed elaborare la richiesta. Per altre informazioni sulle applicazioni affiliate, vedere Applicazioni affiliate SSO.
Negli scenari in cui un'orchestrazione attiva l'adapter di trasmissione, il motore di messaggistica BizTalk invia il messaggio al database MessageBox. L'orchestrazione deve assicurarsi che sia la proprietà di contesto SSOTicket che la proprietà di contesto Microsoft.BizTalk.XLANGs.BTXEngine.OriginatorSID del messaggio contenente il ticket siano mantenuti. Quando l'adapter riceve questo messaggio dal database MessageBox, l'adapter chiama il metodo RedeemTicket con il ticket crittografato per recuperare le credenziali back-end dall'archivio SSO. L'utente che progetta l'orchestrazione deve copiare specificamente questa proprietà nel messaggio.
Supporto SharePoint Portal Server SSO per gli indirizzi di ricezione SOAP
Quando si integra con SharePoint Portal Server, BizTalk Server supporta l'uso di Microsoft SharePoint Portal Server SSO solo tramite l'adattatore SOAP. SharePoint Portal Server crea i ticket SSO e li invia a BizTalk Server in un'intestazione SOAP della richiesta SOAP. Quando l'adattatore SOAP riceve una richiesta contenente un ticket SSO, il ticket viene archiviato come proprietà SSOTicket nella proprietà contesto del messaggio. La stessa proprietà contiene un ticket Enterprise SSO. A un messaggio BizTalk è possibile associare un solo ticket SSO.
In entrambi gli scenari di tpo pass-through e orchestrazione, la gestione di un ticket SSO ricevuto da SharePoint Portal Server è analoga a quella di un ticket creato dall'adapter SOAP utilizzando Enterprise SSO. Quando un adattatore di invio riceve un messaggio, chiama il metodo RedeemTicket con il ticket crittografato che SharePoint Portal Server generato. L'adapter di trasmissione non deve necessariamente essere a conoscenza dell'esistenza di diversi ticket SSO. Il metodo RedeemTicket determina quale sistema SSO ha generato il ticket e lo riscatterà dal luogo appropriato.
Utilizzo combinato di Enterprise SSO e SharePoint Portal Server SSO
BizTalk Server supporta l'uso simultaneo di entrambi i sistemi SSO. L'API è in grado di differenziare i ticket generati da ciascun SSO e li riscatterà dal database SSO appropriato. Se si usano entrambi i sistemi SSO contemporaneamente, le regole seguenti determinano quale ticket SSO la posizione di ricezione SOAP promuove alla proprietà contesto SSOTicket :
Se nessuno dei due SSO è abilitato, non innalzare di livello un ticket.
Se Enterprise SSO è abilitato ma SharePoint Portal Server SSO non lo è, recupera e innalza di livello il ticket SSO.
Se SharePoint Portal Server SSO è abilitato ma Enterprise SSO non lo è, innalza di livello il ticket SharePoint Portal Server SSO esistente.
Se sono abilitati sia Enterprise SSO che SharePoint Portal Server SSO:
Se viene ricevuto il ticket SharePoint Portal Server SSO, innalza di livello tale ticket.
Se non viene ricevuto il ticket SharePoint Portal Server SSO, recupera e innalza di livello il ticket Enterprise SSO.
Supporto Single Sign-On per l'adapter di trasmissione SOAP
Se l'accesso Single Sign-On è abilitato, quando una porta di invio SOAP riceve un messaggio con la proprietà Secure (SSOTicket), chiama il server SSO per convalidare e riscattare il ticket per un'applicazione affiliata. L'applicazione di amministrazione, gli amministratori affiliati o gli amministratori SSO dell'applicazione affiliata possono chiamare SSO per riscattare un ticket. SSO esegue la decrittografia del ticket e ottiene le credenziali back-end. Gli scenari di pass-through e orchestrazione sono gli stessi per la porta di trasmissione SOAP, come descritto nella sezione "Supporto SSO enterprise per le posizioni di ricezione SOAP" dell'argomento Supporto single Sign-On supporto per l'adattatore SOAP.
Per impostazione predefinita, SSO non è abilitato per la porta di trasmissione SOAP. Per altre informazioni sull'abilitazione dell'accesso SSO per la porta di trasmissione SOAP, vedere Come configurare una porta di trasmissione SOAP.