Uso del inicio de sesión único con el integrador de transacciones : HIS
Inicio de sesión único en el Integrador de transacciones
Un único Sign-On (SSO) es un mecanismo que permite a un usuario escribir un nombre de usuario y una contraseña una vez para acceder a varias aplicaciones. Proporciona a los usuarios el inicio de sesión simplificado y el mantenimiento de las muchas contraseñas necesarias para acceder a los sistemas y aplicaciones de Windows y back-end. Permite que las aplicaciones se integren mediante la automatización del proceso de inicio de sesión en el sistema host o back-end.
En general, hay tres tipos de servicios de inicio de sesión único:
Inicio de sesión único de autenticación común: Estos servicios le permiten conectarse a varias aplicaciones dentro del equipo. Las credenciales se solicitan y comprueban una vez al iniciar sesión en el equipo, y estas credenciales se usan para determinar qué acciones puede realizar en función de los permisos. Un ejemplo de este tipo de inicio de sesión único es Exchange Server, que usa Seguridad integrada de Windows. Una vez que el usuario ha iniciado sesión en Windows, no es necesario proporcionar credenciales adicionales para acceder a su correo electrónico.
Inicio de sesión único en Internet: Estos servicios permiten acceder a los recursos a través de Internet mediante un único conjunto de credenciales de usuario. El usuario proporciona un conjunto de credenciales para iniciar sesión en diferentes sitios web pertenecientes a distintas organizaciones. Un ejemplo de este tipo de inicio de sesión único es Windows Live ID.
Inicio de sesión único de intranet: Estos servicios le permiten conectarse a varias aplicaciones y sistemas heterogéneos dentro del entorno empresarial de su empresa. Un ejemplo de este tipo de inicio de sesión único es Inicio de sesión único empresarial, que proporciona un marco para que las aplicaciones de Windows se integren con aplicaciones que no son de Windows para habilitar el inicio de sesión único.
El inicio de sesión único facilita la traducción de credenciales por parte del Asistente para directivas de seguridad. El inicio de sesión único permite definir y administrar la relación entre el identificador de usuario de host externo y las credenciales de contraseña con las credenciales de Windows. La base para administrar estas relaciones es la aplicación afiliada de SSO.
Una aplicación afiliada es una agrupación de identidades de usuario host bien definidas en una entidad lógica que refleja la vista de los administradores host de los sistemas de procesamiento de aplicaciones en los entornos que no son de Windows.
Cuando se entrega un conjunto de credenciales de host (identificador de usuario y contraseña) junto con una aplicación afiliada de SSO válida, el inicio de sesión único devuelve un token de acceso de Windows que representa las credenciales de Windows. HIP usa este token de acceso al configurar el subproceso de ejecución para métodos en el objeto de servidor.
Para facilitar este proceso, la directiva de seguridad debe saber qué aplicaciones afiliadas de SSO se van a consultar en un intento de obtener acceso a las credenciales de Windows (token de acceso) necesarias para ejecutar métodos en el objeto de servidor. El panel del asistente permite al usuario seleccionar una lista de aplicaciones afiliadas de SSO válidas y agregarlas a la directiva de seguridad que se está definiendo. El panel del asistente también permite al usuario quitar las aplicaciones afiliadas de SSO definidas anteriormente en la directiva de seguridad.
SSO con procesamiento de Host-Initiated
Cuando se usa la seguridad de single Sign-On (SSO) con el procesamiento iniciado por el host (HIP), la suplantación de credenciales de usuario se controla de forma diferente en función de si se llama a un objeto .NET o a un objeto COM. Si HIP llama a un objeto .NET, no hay consideraciones especiales; El entorno en tiempo de ejecución del Integrador de transacciones (TI) suplanta la cuenta de usuario. Sin embargo, si HIP llama a un objeto COM, hay consideraciones especiales.
Según el modelo de subproceso y el tipo de registro de los componentes, las siguientes acciones se producen cuando HIP llama al método de un objeto .COM cuando se suplanta una cuenta de usuario (la que las credenciales del host se habrían asignado a través del inicio de sesión único):
| Modelo de subprocesos | Registro | Acciones |
|---|---|---|
| Individual, apartamento | Servidor,biblioteca/sin aplicación COM+ | - Se llama a los métodos de objeto de servidor en la identidad configurada por la aplicación HIP Service/COM+. - Los métodos de objeto de servidor llaman a CoImpersonateClient para empezar a suplantar la identidad del usuario. - Opcionalmente, los métodos pueden llamar a CoRevertToSelf, aunque eso no es necesario porque COM lo llamará de todos modos después de que el método devuelva. |
| Gratis, ambos, neutros | Aplicación COM+ de servidor | - Se llama a los métodos de objeto de servidor en la identidad configurada por la aplicación HIP Service/COM+. - Los métodos de objeto de servidor llaman a CoImpersonateClient para empezar a suplantar la identidad del usuario. - Opcionalmente, los métodos pueden llamar a CoRevertToSelf, aunque eso no es necesario porque COM lo llamará de todos modos después de que el método devuelva. |
| Gratis, ambos, neutros | Biblioteca/Sin aplicación COM+ | - Los métodos de objeto de servidor se llaman bajo la identidad de usuario que se está suplantando. - El método de objeto de servidor no debe llamar a CoImpersonateClient o CoRevertToSelf porque producirían un error con RPC_E_CALL_COMPLETE. |
Si está programando en Microsoft Visual Basic® 6.0, asegúrese de incluir las declaraciones CoImpersonateClient y CoRevertToSelf en los programas:
Private Declare Function CoImpersonateClient Lib "ole32.dll" () As Long
Private Declare Function CoRevertToSelf Lib "ole32.dll" () As Long