Panoramica della programmazione con Single Sign-On
Un processo di business che si basa su diverse applicazioni ha probabilmente la necessità di gestire domini di sicurezza differenti. L'accesso a un'applicazione su un sistema operativo Microsoft Windows potrebbe richiedere un singolo insieme di credenziali di sicurezza, mentre l'accesso a un mainframe IBM potrebbe richiedere credenziali differenti. La gestione da parte degli utenti di questa profusione di credenziali risulta piuttosto difficile e può rappresentare una sfida ancora più ardua nel caso dell'automazione dei processi. Per risolvere questo problema, BizTalk Server include Enterprise Single Sign-On (SSO). SSO consente di eseguire il mapping dell'ID utente Windows con credenziali utente non Windows. Questo servizio è in grado di semplificare i processi di business che utilizzano applicazioni su sistemi differenti.
Per utilizzare Enterprise Single Sign-On, un amministratore deve definire le applicazioni affiliate, ognuna delle quali rappresenta un sistema o un'applicazione non Windows. Un'applicazione affiliata potrebbe essere un'applicazione CICS (Customer Information Control System) in esecuzione su un mainframe IBM, un sistema ERP SAP in esecuzione su Unix o qualsiasi altro tipo di software. Poiché dispone di un proprio meccanismo di autenticazione, ognuna di queste applicazioni richiede credenziali univoche.
Enterprise Single Sign-On memorizza il mapping crittografato tra l'ID utente Windows di un utente e le credenziali associate per una o più applicazioni affiliate. Queste coppie collegate vengono memorizzate nel database SSO. SSO utilizza il database SSO in due modi. Il primo modo, denominato Single Sign-On avviato da Windows, usa l'ID utente per determinare quali applicazioni associate l'utente ha accesso. Ad esempio, un account utente di Windows potrebbe essere collegato con le credenziali che consentono l'accesso a un database DB2 in esecuzione in un server IBM i remoto. Il secondo modo, denominato Single Sign-On avviato dall'host, agisce inverso: determinare quali applicazioni remote hanno accesso a un ID utente specificato e i privilegi che vanno con tale account. Un'applicazione remota ad esempio potrebbe essere collegata con credenziali che concedono l'accesso a un account utente che dispone di privilegi di amministrazione su una rete Windows.
Si noti che il servizio SSO include inoltre strumenti di amministrazione che consentono di eseguire diverse attività. Tutte le operazioni eseguite nel database SSO vengono controllate. Vengono ad esempio forniti strumenti che consentono a un amministratore di monitorare queste operazioni e di impostare vari livelli di controllo. Altri strumenti consentono a un amministratore di disattivare una particolare applicazione affiliata, attivare e disattivare un singolo mapping per un utente ed eseguire altre funzioni. È disponibile inoltre un programma client che consente agli utenti finali di configurare mapping e credenziali.
Uno dei requisiti di amministrazione per Single Sign-On prevede la necessità che il sistema locale sia in grado di riconoscere le credenziali necessarie per eseguire l'accesso a un sistema remoto. Analogamente, il sistema remoto deve essere in grado di riconoscere le credenziali per il sistema locale. Durante l'aggiornamento delle credenziali, ad esempio quando si aggiorna la password nel computer locale, è necessario informare anche i sistemi remoti dell'esecuzione di eventuali modifiche. Il componente progettato per sincronizzare le password in un'organizzazione viene chiamato scheda di sincronizzazione password.