事务集成器中的单一登录
单 Sign-On (SSO) 是一种机制,使用户能够一次性输入用户名和密码来访问多个应用程序。 它为用户提供了访问 Windows 和后端系统和/或应用程序所需的许多密码的简化登录和维护。 它允许应用程序通过自动登录到主机/后端系统的过程进行集成。
一般情况下,有三种类型的单一登录服务:
常见身份验证单一登录: 这些服务使你能够连接到计算机中的多个应用程序。 登录计算机时,系统会请求并验证凭据一次,这些凭据用于确定可以根据权限执行哪些操作。 此类单一登录的一个示例是 Exchange Server,它使用 Windows 集成安全。 用户登录到 Windows 后,无需提供其他凭据即可访问其电子邮件。
Internet 单一登录: 这些服务使你能够使用一组用户凭据通过 Internet 访问资源。 用户提供一组凭据以登录到属于不同组织的不同网站。 此类单一登录的一个示例是 Windows Live ID。
Intranet 单一登录: 这些服务使你能够连接到公司企业环境中的多个异类应用程序和系统。 这种类型的单一登录的一个示例是企业单一登录,它为 Windows 应用程序提供了一个框架,以便与非 Windows 应用程序集成以启用单一登录。
SSO 有助于通过安全策略向导转换凭据。 SSO 允许定义和管理外部主机用户 ID 与密码凭据与 Windows 凭据之间的关系。 管理这些关系的基础是 SSO 关联应用程序。
关联应用程序是逻辑实体下定义完善的主机用户标识的分组,该实体反映非 Windows 环境中的应用程序处理系统的主机管理员视图。
将一组主机凭据 (用户 ID 和密码) 与有效的 SSO 关联应用程序一起传递时,SSO 将返回表示 Windows 凭据的 Windows 访问令牌。 HIP 在为服务器对象上的方法设置执行线程时使用此访问令牌。
为了简化此过程,安全策略必须知道要查询哪些 SSO 关联应用程序,以尝试访问 Windows 凭据 (访问令牌,) 在服务器对象上执行方法所需的。 通过向导窗格,用户可以从有效的 SSO 关联应用程序列表中选择这些应用程序,并将其添加到定义的安全策略。 向导窗格还允许用户删除以前定义到安全策略的 SSO 关联应用程序。
SSO 与 Host-Initiated 处理
将单一 Sign-On (SSO) 安全性与主机发起的处理 (HIP) 结合使用时,模拟用户凭据的处理方式会有所不同,具体取决于是调用 .NET 对象还是 COM 对象。 如果 HIP 调用 .NET 对象,则没有特殊注意事项;事务集成商 (TI) 运行时环境模拟用户帐户。 但是,如果 HIP 正在调用 COM 对象,则有特殊注意事项。
根据组件的线程模型和注册类型,当 HIP 调用 .COM 对象的 方法时,它会模拟用户帐户 (主机凭据通过 SSO) 映射到的用户帐户时,将执行以下操作:
| 线程处理模型 | 注册 | 操作 |
|---|---|---|
| 单间,公寓 | 服务器/库/无 COM+ 应用程序 | - 服务器对象方法在 HIP Service/COM+ 应用程序配置的标识下调用。 - 服务器对象方法调用 CoImpersonateClient 以开始模拟用户标识。 - (可选)方法可以调用 CoRevertToSelf,但这不是必需的,因为 COM 在方法返回后仍会调用它。 |
| 免费,两者,中性 | 服务器 COM+ 应用程序 | - 服务器对象方法在 HIP Service/COM+ 应用程序配置的标识下调用。 - 服务器对象方法调用 CoImpersonateClient 以开始模拟用户标识。 - (可选)方法可以调用 CoRevertToSelf,但这不是必需的,因为 COM 在方法返回后仍会调用它。 |
| 免费,两者,中性 | 库/无 COM+ 应用程序 | - 在模拟的用户标识下调用服务器对象方法。 - 服务器对象方法不应调用 CoImpersonateClient 或 CoRevertToSelf ,因为它们会失败并RPC_E_CALL_COMPLETE。 |
如果要在 Microsoft Visual Basic® 6.0 中编程,请确保在程序中包括 CoImpersonateClient 和 CoRevertToSelf 声明:
Private Declare Function CoImpersonateClient Lib "ole32.dll" () As Long
Private Declare Function CoRevertToSelf Lib "ole32.dll" () As Long