Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Ein Geschäftsprozess, der auf mehreren verschiedenen Anwendungen basiert, stellt sich wahrscheinlich der Herausforderung, mit mehreren verschiedenen Sicherheitsdomänen umzugehen. Für den Zugriff auf eine Anwendung auf einem Microsoft Windows-Betriebssystem ist möglicherweise eine Reihe von Sicherheitsanmeldeinformationen erforderlich, während der Zugriff auf eine Anwendung auf einem IBM-Großrechner möglicherweise unterschiedliche Anmeldeinformationen erfordert. Der Umgang mit dieser Vielfalt von Anmeldeinformationen ist für Benutzer schwierig und kann eine noch größere Herausforderung für die Automatisierung von Prozessen darstellen. Um dieses Problem zu beheben, enthält BizTalk Server Enterprise Single Sign-On (SSO). Mit SSO können Sie eine Windows-Benutzer-ID Nicht-Windows-Benutzeranmeldeinformationen zuordnen. Dieser Dienst kann Geschäftsprozesse vereinfachen, die Anwendungen auf verschiedenen Systemen verwenden.
Um SSO zu verwenden, definiert ein Administrator verbundene Anwendungen, die jeweils ein Nicht-Windows-System oder eine Anwendung darstellen. Eine verbundene Anwendung kann eine Customer Information Control System (CICS)-Anwendung sein, die auf einem IBM-Großrechner, einem SAP ERP-System, das auf UNIX oder einer anderen Art von Software ausgeführt wird. Jede dieser Anwendungen verfügt über einen eigenen Mechanismus für die Authentifizierung und erfordert daher eigene eindeutige Anmeldeinformationen.
SSO speichert eine verschlüsselte Zuordnung zwischen der Windows-Benutzer-ID eines Benutzers und den zugehörigen Anmeldeinformationen für eine oder mehrere verbundene Anwendungen. Diese verknüpften Paare werden in einer SSO-Datenbank gespeichert. SSO verwendet die SSO-Datenbank auf zwei Arten. Die erste Methode, die als von Windows initiiertes einmaliges Anmelden bezeichnet wird, verwendet die Benutzer-ID, um zu bestimmen, auf welche verbundenen Anwendungen der Benutzer Zugriff hat. Beispielsweise kann ein Windows-Benutzerkonto mit Anmeldeinformationen verknüpft werden, die Zugriff auf eine DB2-Datenbank gewähren, die auf einem Remote-IBM i-Server ausgeführt wird. Die zweite Methode, die als vom Host initiiertes Einmaliges Anmelden bezeichnet wird, fungiert umgekehrt: Bestimmen, welche Remoteanwendungen Zugriff auf eine bestimmte Benutzer-ID haben, und die Berechtigungen, die mit diesem Konto verwendet werden. Beispielsweise kann eine Remoteanwendung mit Anmeldeinformationen verknüpft werden, die Zugriff auf ein Benutzerkonto gewähren, das Über Administratorrechte in einem Windows-Netzwerk verfügt.
Beachten Sie, dass SSO auch Verwaltungstools zum Ausführen verschiedener Vorgänge umfasst. Alle Vorgänge, die in der SSO-Datenbank ausgeführt werden, werden überwacht; Beispielsweise werden Tools bereitgestellt, mit denen ein Administrator diese Vorgänge überwachen und verschiedene Überwachungsstufen festlegen kann. Andere Tools ermöglichen es einem Administrator, eine bestimmte verbundene Anwendung zu deaktivieren, eine individuelle Zuordnung für einen Benutzer zu aktivieren und zu deaktivieren und andere Funktionen auszuführen. Es gibt auch ein Clientprogramm, mit dem Endbenutzer ihre eigenen Anmeldeinformationen und Zuordnungen konfigurieren können.
Eine der administrativen Anforderungen für Single Sign-On besteht darin, dass Ihr lokales System über die erforderlichen Anmeldeinformationen verfügen muss, die zum Anmelden bei einem Remotesystem erforderlich sind. Ebenso muss das Remotesystem über die Anmeldeinformationen Ihres lokalen Systems informiert sein. Wenn Sie Ihre Anmeldeinformationen aktualisieren, z. B. wenn Sie Ihr Kennwort auf Ihrem lokalen Computer aktualisieren, müssen Sie daher auch die Remotesysteme darüber informieren, dass Sie dies getan haben. Die Komponente, die Sie entwerfen, die Kennwörter in einem Unternehmen synchronisiert, wird als Kennwortsynchronisierungsadapter bezeichnet.
In diesem Abschnitt
Einzelne Sign-On-Schnittstelle
Was Sie vor der Programmierung des einmaligen Anmeldens wissen sollten