SSO-Unterstützung für den SOAP-Adapter
Sie können die BizTalk Server-Verwaltungskonsole verwenden, um Enterprise Single Sign-On (SSO) für die Verwendung mit dem SOAP-Empfangsspeicherort oder Sendeport zu konfigurieren. In diesem Thema wird die Verwendung von SSO mit dem SOAP-Adapter beschrieben.
SSO-Unterstützung für SOAP-Empfangsspeicherorte
SOAP-Empfangsspeicherorte unterstützen zwei Versionen des einmaligen Anmeldens : BizTalk Server Enterprise einmaliges Anmelden und Microsoft SharePoint Portal Server einmaliges Anmelden. Führen Sie den Assistenten für BizTalk-Webdienstpublishing aus, um die Unterstützung für SharePoint Portal Server-SSO zu aktivieren. Weitere Informationen zum Aktivieren SharePoint Portal Server einmaligen Anmeldens finden Sie unter Veröffentlichung von Webdiensten. Aktivieren Sie BizTalk-SSO für Unternehmen auf den Eigenschaftenseiten des SOAP-Empfangsspeicherorts. Weitere Informationen zum Aktivieren des einmaligen Anmeldens von Enterprise für den SOAP-Empfangsspeicherort finden Sie unter Konfigurieren eines SOAP-Empfangsspeicherorts.
SSO für Unternehmen-Unterstützung für SOAP-Empfangsspeicherorte
Internetinformationsdienste (IIS) empfängt eine SOAP-Anforderung von einem Webclient, authentifiziert anschließend den Benutzer und übergibt die Sicherheits-ID an den SOAP-Adapter. Wenn die IIS-Authentifizierung auf Digest, Standard oder Integrierte Windows-Authentifizierung eingestellt ist, ruft der SOAP-Adapter den SSO-Anmeldeinformationenspeicher auf, um basierend auf dem authentifizierten Benutzer ein verschlüsseltes Ticket abzurufen. Dieses Ticket wird als SSOTicket-Eigenschaft in der Kontexteigenschaft der Nachricht gespeichert.
Im Pass-Through-Szenario wird die Nachricht von der BizTalk-Messaging-Engine zur MessageBox-Datenbank geleitet. Wenn ein Sendeadapter die Nachricht von der MessageBox-Datenbank empfängt, ruft er die RedeemTicket-Methode mit dem verschlüsselten Ticket zusammen mit dem Anwendungsnamen auf, um die Sicherheitsanmeldeinformationen für die Anwendung aus dem SSO-Speicher abzurufen. Der Sendeadapter verwendet anschließend die externen Anmeldeinformationen, um eine Verbindung mit der Anwendung herzustellen und die Anforderung zu verarbeiten. Weitere Informationen zu den Partneranwendungen finden Sie unter SSO-Partneranwendungen.
In Szenarien, in denen eine Orchestrierung den Sendeadapter aufruft, wird die Nachricht von der BizTalk-Messaging-Engine zur MessageBox-Datenbank gesendet. Die Orchestrierung sollte sicherstellen, dass sowohl die SSOTicket-Kontexteigenschaft als auch die Kontexteigenschaft Microsoft.BizTalk.XLANGs.BTXEngine.OriginatorSID der Nachricht, die das Ticket enthält, beibehalten werden. Wenn der Adapter diese Nachricht von der MessageBox-Datenbank empfängt, ruft er die RedeemTicket-Methode mit dem verschlüsselten Ticket auf, um die Back-End-Anmeldeinformationen aus dem SSO-Speicher abzurufen. Der Benutzer, der die Orchestrierung entwirft, muss insbesondere diese Eigenschaft in die Nachricht kopieren.
SharePoint Portal Server-SSO-Unterstützung für SOAP-Empfangsspeicherorte
Bei der Integration in SharePoint Portal Server unterstützt BizTalk Server die Verwendung von Microsoft SharePoint Portal Server einmaliges Anmelden nur über den SOAP-Adapter. SharePoint Portal Server erstellt SSO-Tickets und sendet sie in einem SOAP-Header der SOAP-Anforderung an BizTalk Server. Wenn der SOAP-Adapter eine Anforderung empfängt, die ein SSO-Ticket enthält, wird das Ticket als SSOTicket-Eigenschaft in der Kontexteigenschaft der Nachricht gespeichert. Dieselbe Eigenschaft würde auch ein SSO für Unternehmen-Ticket enthalten. Einer BizTalk-Nachricht kann nur ein SSO-Ticket zugeordnet werden.
In Pass-Through- und Orchestrierungsszenarien entspricht die Verarbeitung eines SSO-Tickets, das von SharePoint Portal Server empfangen wurde, der eines Tickets, das mithilfe von SSO für Unternehmen vom SOAP-Adapter erstellt wurde. Wenn ein Sendeadapter eine Nachricht empfängt, ruft er die RedeemTicket-Methode mit dem verschlüsselten Ticket auf, das generiert SharePoint Portal Server. Dem Sendeadapter muss nicht bekannt sein, dass verschiedene SSO-Tickets vorhanden sind. Die RedeemTicket-Methode bestimmt, welches SSO-System das Ticket generiert hat, und löst es an der entsprechenden Stelle ein.
Kombinierte Verwendung von SSO für Unternehmen und SharePoint Portal Server-SSO
BizTalk Server unterstützt die gleichzeitige Nutzung beider SSO-Systeme. Die API kann zwischen den Tickets unterscheiden, die von den einzelnen SSO-Systemen generiert wurden, und löst diese in der entsprechenden SSO-Datenbank ein. Wenn Sie beide SSO-Systeme gleichzeitig verwenden, bestimmen die folgenden Regeln, welches SSO-Ticket der SOAP-Empfangsspeicherort in die SSOTicket-Kontexteigenschaft höher legt:
Wenn kein SSO-System aktiviert ist, wird kein Ticket höher gestuft.
Wenn SSO für Unternehmen aktiviert und SharePoint Portal Server-SSO deaktiviert ist, wird das SSO für Unternehmen-Ticket abgerufen und höher gestuft.
Wenn SharePoint Portal Server-SSO aktiviert und SSO für Unternehmen deaktiviert ist, wird das vorhandene SharePoint Portal Server-SSO-Ticket höher gestuft.
Wenn sowohl SSO für Unternehmen als auch SharePoint Portal Server-SSO aktiviert sind:
Wenn das SharePoint Portal Server-SSO-Ticket empfangen wird, wird dieses Ticket höher gestuft.
Wenn das SharePoint Portal Server-SSO-Ticket nicht empfangen wird, wird das SSO für Unternehmen-Ticket abgerufen und höher gestuft.
SSO-Unterstützung für den SOAP-Sendeadapter
Wenn einmaliges Anmelden aktiviert ist, ruft ein SOAP-Sendeport eine Nachricht mit der Secure-Eigenschaft (SSOTicket) auf, um das Ticket für eine Partneranwendung zu überprüfen und einzulösen. Die Verwaltungsanwendung, Partneradministratoren und SSO-Administratoren der Partneranwendung können SSO aufrufen, um ein Ticket einzulösen. SSO entschlüsselt anschließend das Ticket und ruft die Back-End-Anmeldeinformationen ab. Die Passthrough- und Orchestrierungsszenarien sind für den SOAP-Sendeport identisch, wie im Abschnitt "Enterprise SSO Support for SOAP Receive Locations" des Themas Single Sign-On Support for the SOAP Adapter beschrieben.
Standardmäßig aktiviert der SOAP-Sendeport SSO nicht. Weitere Informationen zum Aktivieren des einmaligen Anmeldens für den SOAP-Sendeport finden Sie unter Konfigurieren eines SOAP-Sendeports.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für