Compartir a través de

Compatibilidad de SSO para adaptadores de envío

  • Artículo

El inicio de sesión único (SSO) empresarial proporciona servicios para almacenar y transmitir credenciales de usuario cifradas a través de los límites locales, de red y de dominio. Cuando crea un adaptador de transporte, puede aprovechar las API de SSO para controlar las credenciales de usuario que un adaptador de transporte usa para tener acceso a las aplicaciones servidor.

Suele ser necesario configurar los adaptadores de transporte que no son compatibles con SSO con un conjunto único de credenciales que usen para tener acceso a aplicaciones de servidor. Para muchos sistemas de servidor, es posible que la autenticación de cuenta única no satisfaga todas las exigencias de seguridad. Muchas aplicaciones proporcionan diferentes derechos de acceso en función del usuario que tenga acceso a ellas. SSO permite que los adaptadores elijan de forma dinámica las credenciales que van a usar para el extremo según el usuario que esté intentando tener acceso a él.

Cómo funcionan los adaptadores de envío con SSO

Envíe adaptadores que admitan el inicio de sesión único valide y canjee el vale y obtenga las credenciales de usuario del sistema SSO mediante la API ISSOTicket.ValidateAndRedeemTicket . Una vez obtenidas las credenciales, el adaptador las usa para autenticar con el extremo de destino.

El fragmento de código siguiente muestra cómo un adaptador de envío obtiene las credenciales de usuario desde el sistema SSO:

public class MyAdapter : IBTTransport,   
                         IBTTransportConfig,   
                         IBTTransportControl,  
                        IPersistPropertyBag,   
                         IBaseComponent  
{  
...  
     private string m_UserName = null;  
     private string m_UserPassword = null;  
  
 // Get user credentials from SSO  
 // AffiliateAppVal is the name of SSO affiliate   
 // application for the specific destination endpoint  
     private void GetUserCredentials(  
 IBaseMessage message,   
 string AffiliateAppVal )  
     {  
 string creds[] = null;  
 string externalUserName = null;  
  
 ISSOTicket ssoTicket = new ISSOTicket();  
 creds = ssoTicket.ValidateAndRedeemTicket(  
 message,   
 AffiliateAppVal,   
 0,   
 out externalUserName);  
  
 m_UserName = externalUserName;  
 m_UserPassword = creds[0];  
     }  
...  
}

Resolución de entidades

La misión del componente de canalización de resolución de entidades consiste en asignar el certificado de remitente o el identificador de seguridad de remitente (SID) a la correspondiente entidad de BizTalk Server configurada. Los adaptadores que tienen esta información disponible para ellos deben establecer las dos propiedades de contexto de mensaje del sistema, WindowsUser y SignatureCertificate, que el componente de resolución de entidad de bajada usará si está configurado.

La propiedad WindowsUser se rellena con el usuario de dominio del remitente, por ejemplo redmond\myBtsUser. La propiedad SignatureCertificate se rellena con la huella digital del certificado de autenticación de cliente.

Administración de contraseñas

Si coloca las credenciales directamente en las propiedades de un extremo, el campo de contraseña estará en blanco cuando necesite exportar un archivo de enlace. Por ello, el usuario deberá volver a escribir la contraseña como administrador. Para evitar este contratiempo, use SSO para las credenciales.