Verwenden des einmaligen Anmeldens mit Transaktionsintegrator – HIS
Einmaliges Anmelden in Transaction Integrator
Single Sign-On (Single Sign-On, SSO) ist ein Mechanismus, mit dem ein Benutzer einmal einen Benutzernamen und ein Kennwort eingeben kann, um auf mehrere Anwendungen zuzugreifen. Es ermöglicht Benutzern eine vereinfachte Anmeldung und Wartung der vielen Kennwörter, die für den Zugriff auf Windows- und Back-End-Systeme und/oder Anwendungen erforderlich sind. Es ermöglicht die Integration von Anwendungen, indem der Prozess der Anmeldung beim Host-/Back-End-System automatisiert wird.
Im Allgemeinen gibt es drei Arten von Diensten für einmaliges Anmelden:
Häufiges einmaliges Anmelden für die Authentifizierung: Mit diesen Diensten können Sie eine Verbindung mit mehreren Anwendungen auf Ihrem Computer herstellen. Ihre Anmeldeinformationen werden einmal angefordert und überprüft, wenn Sie sich beim Computer anmelden, und diese Anmeldeinformationen werden verwendet, um zu bestimmen, welche Aktionen Sie basierend auf Ihren Berechtigungen ausführen können. Ein Beispiel für diese Art des einmaligen Anmeldens ist Exchange Server, die integrierte Windows-Sicherheit verwendet. Nachdem sich der Benutzer bei Windows angemeldet hat, muss er keine zusätzlichen Anmeldeinformationen angeben, um auf seine E-Mail zuzugreifen.
Einmaliges Anmelden im Internet: Mit diesen Diensten können Sie über das Internet auf Ressourcen zugreifen, indem Sie einen einzelnen Satz von Benutzeranmeldeinformationen verwenden. Der Benutzer gibt einen Satz von Anmeldeinformationen an, um sich an verschiedenen Websites anzumelden, die zu verschiedenen Organisationen gehören. Ein Beispiel für diese Art des einmaligen Anmeldens ist Windows Live ID.
Einmaliges Anmelden im Intranet: Mit diesen Diensten können Sie eine Verbindung mit mehreren heterogenen Anwendungen und Systemen innerhalb der Unternehmensumgebung in Ihrem Unternehmen herstellen. Ein Beispiel für diese Art des einmaligen Anmeldens ist das einmalige Anmelden von Enterprise, das ein Framework für Windows-Anwendungen bereitstellt, die in Nicht-Windows-Anwendungen integriert werden können, um einmaliges Anmelden zu ermöglichen.
Einmaliges Anmelden erleichtert die Übersetzung von Anmeldeinformationen durch den Sicherheitsrichtlinien-Assistenten. Mit einmaligem Anmelden können Sie die Beziehung zwischen der Benutzer-ID des ausländischen Hosts und den Kennwortanmeldeinformationen zu Windows-Anmeldeinformationen definieren und verwalten. Die Grundlage für die Verwaltung dieser Beziehungen ist die SSO-verbundene Anwendung.
Eine verbundene Anwendung ist eine Gruppierung von klar definierten Hostbenutzeridentitäten unter einer logischen Entität, die die Ansicht der Hostadministratoren von Anwendungsverarbeitungssystemen in Nicht-Windows-Umgebungen widerspiegelt.
Wenn SSO eine Reihe von Hostanmeldeinformationen (Benutzer-ID und Kennwort) zusammen mit einer gültigen SSO-verbundenen Anwendung übergeben wird, gibt SSO ein Windows-Zugriffstoken zurück, das die Windows-Anmeldeinformationen darstellt. HIP verwendet dieses Zugriffstoken beim Einrichten des Ausführungsthreads für Methoden für das Serverobjekt.
Um diesen Prozess zu vereinfachen, muss die Sicherheitsrichtlinie wissen, welche SSO-verbundenen Anwendungen abgefragt werden sollen, um Zugriff auf die Windows-Anmeldeinformationen (Zugriffstoken) zu erhalten, die zum Ausführen von Methoden auf dem Serverobjekt erforderlich sind. Im Assistentenbereich kann der Benutzer aus einer Liste der gültigen SSO-verbundenen Anwendungen auswählen und sie der definierten Sicherheitsrichtlinie hinzufügen. Im Assistentenbereich kann der Benutzer auch SSO-verbundene Anwendungen entfernen, die zuvor für die Sicherheitsrichtlinie definiert wurden.
Einmaliges Anmelden mit Host-Initiated Verarbeitung
Wenn Sie single Sign-On (Single Sign-On, SSO) mit hostinitiierter Verarbeitung (HIP) verwenden, wird der Identitätswechsel von Benutzeranmeldeinformationen unterschiedlich behandelt, je nachdem, ob Sie ein .NET-Objekt oder ein COM-Objekt aufrufen. Wenn HIP ein .NET-Objekt aufruft, gibt es keine besonderen Überlegungen. Die Transaktionsintegrator-Laufzeitumgebung (TI) gibt die Identität des Benutzerkontos an. Wenn HIP jedoch ein COM-Objekt aufruft, gibt es besondere Überlegungen.
Je nach Threadingmodell und Registrierungstyp der Komponenten treten die folgenden Aktionen auf, wenn HIP die Methode eines .COM-Objekts aufruft, wenn es die Identität eines Benutzerkontos imitiert (dem, dem die Hostanmeldeinformationen über einmaliges Anmelden zugeordnet worden wären):
| Threading-Modell | Registrierung | Aktionen |
|---|---|---|
| Einzelzimmer, Wohnung | Server/Bibliothek/Keine COM+-Anwendung | - Serverobjektmethoden werden unter HIP-Dienst/COM+-Anwendungskonfigurierte Identität aufgerufen. - Serverobjektmethoden rufen CoImpersonateClient auf, um mit dem Identitätswechsel der Benutzeridentität zu beginnen. - Optional können Methoden CoRevertToSelf aufrufen, obwohl dies nicht erforderlich ist, da COM sie trotzdem aufruft, nachdem die Methode zurückgegeben wurde. |
| Frei, beide, neutral | Server COM+-Anwendung | - Serverobjektmethoden werden unter HIP-Dienst/COM+-Anwendungskonfigurierte Identität aufgerufen. - Serverobjektmethoden rufen CoImpersonateClient auf, um mit dem Identitätswechsel der Benutzeridentität zu beginnen. - Optional können Methoden CoRevertToSelf aufrufen, obwohl dies nicht erforderlich ist, da COM sie trotzdem aufruft, nachdem die Methode zurückgegeben wurde. |
| Frei, beide, neutral | Bibliothek/Keine COM+-Anwendung | - Serverobjektmethoden werden unter der Benutzeridentität aufgerufen, die identitätswechselt wird. - Die Serverobjektmethode sollte coImpersonateClient oder CoRevertToSelf nicht aufrufen, da sie mit RPC_E_CALL_COMPLETE fehlschlagen würde. |
Wenn Sie in Microsoft Visual Basic® 6.0 programmieren, müssen Sie die Deklarationen CoImpersonateClient und CoRevertToSelf in Ihre Programme einschließen:
Private Declare Function CoImpersonateClient Lib "ole32.dll" () As Long
Private Declare Function CoRevertToSelf Lib "ole32.dll" () As Long