Übersicht über die Programmierung von Einmaligem Anmelden
Geschäftsprozesse, die auf verschiedenen Anwendungen basieren, müssen wahrscheinlich mit unterschiedlichen Sicherheitsdomänen umgehen. Für den Zugriff auf eine Anwendung unter einem Microsoft® Windows®-Betriebssystem wird z. B: möglicherweise ein bestimmter Satz von Sicherheitsanmeldeinformationen benötigt, während der Zugang zu einer Anwendung auf einem IBM-Mainframe andere Anmeldeinformationen erfordern kann. Für den Benutzer ist es nicht leicht, eine Vielzahl von Anmeldeinformationen für die unterschiedlichsten Zwecke bereitzuhalten, und für automatische Vorgänge kann dies noch viel problematischer sein. Um dieses Problem zu beheben, umfasst BizTalk Server Enterprise Single Sign-On (SSO). Mit SSO können Sie eine Windows-Benutzer-ID den Anmeldeinformationen eines Nicht-Windows-Benutzers zuordnen. Dieser Dienst vereinfacht Geschäftsprozesse, bei denen Anwendungen auf verschiedenen Systemen verwendet werden.
Für die Verwendung von SSO definiert ein Administrator Partneranwendungen, die jeweils ein Nicht-Windows-System bzw. eine Nicht-Windows-Anwendung darstellen. Eine Partneranwendung kann beispielsweise eine CICS-Anwendung (Customer Information Control System) sein, die auf einem IBM-Mainframe ausgeführt wird, ein SAP ERP-System unter Unix oder eine beliebige andere Art von Software. Jede dieser Anwendungen verfügt über ihren eigenen Mechanismus zur Authentifizierung und erfordert daher ihre eigenen, besonderen Anmeldeinformationen.
SSO speichert eine verschlüsselte Zuordnung zwischen der Windows-Benutzer-ID eines Benutzers und dessen Anmeldeinformationen für eine oder mehrere Partneranwendungen. Diese verknüpften Datensatzpaare werden in einer SSO-Datenbank gespeichert. Diese wird von SSO auf zwei Arten verwendet. Die erste Methode, die als windowsinitiiertes einmaliges Anmelden bezeichnet wird, verwendet die Benutzer-ID, um zu bestimmen, auf welche verbundenen Anwendungen der Benutzer Zugriff hat. Beispiel: Ein Windows-Benutzerkonto kann mit Anmeldeinformationen verknüpft werden, durch die der Zugriff auf eine DB2-Datenbank auf einem AS/400-Remoteserver gewährt wird. Die zweite Methode, die vom Host initiiertes einmaliges Anmelden genannt wird, erfolgt umgekehrt: Bestimmen, welche Remoteanwendungen Zugriff auf eine angegebene Benutzer-ID haben und welche Berechtigungen für dieses Konto gelten. Beispiel: Eine Remoteanwendung kann mit Anmeldeinformationen verknüpft werden, durch die der Zugriff auf ein Benutzerkonto gewährt wird, das über Administratorberechtigungen in einem Windows-Netzwerk verfügt.
Darüber hinaus umfasst SSO Verwaltungstools zum Ausführen diverser Vorgänge. Alle in der SSO-Datenbank ausgeführten Vorgänge werden überwacht. So gibt es beispielsweise Tools, mit denen ein Administrator diese Vorgänge überwachen und verschiedene Überwachungsebenen festlegen kann. Mit anderen Tools kann ein Administrator eine bestimmte Partneranwendung deaktivieren, einzelne Zuordnungen für einen Benutzer aktivieren und deaktivieren sowie andere Funktionen ausführen. Außerdem gibt es ein Clientprogramm, mit dem Endbenutzer ihre eigenen Anmeldeinformationen und Zuordnungen konfigurieren können.
Eine der administrativen Anforderungen für Einmaliges Anmelden besteht darin, dass Ihr lokales System die Anmeldeinformationen kennen muss, die zum Anmelden bei einem Remotesystem erforderlich sind. Ebenso muss das Remotesystem die Anmeldeinformationen auf Ihrem lokalen System kennen. Das bedeutet, dass Sie beim Aktualisieren Ihrer Anmeldeinformationen (z. B. wenn Sie Ihr Kennwort auf dem lokalen Computer ändern) auch das Remotesystem davon in Kenntnis setzen müssen. Die komponente, die Sie entwerfen, die Kennwörter in einem Unternehmen synchronisiert, wird als Kennwortsynchronisierungsadapter bezeichnet.
In diesem Abschnitt
Vorausgesetzte Kenntnisse für die Programmierung von Einmaligem Anmelden