Compartir vía

Compatibilidad del inicio de sesión único con el adaptador de SOAP

  • Artículo

Puede utilizar la consola de administración de BizTalk Server para configurar el inicio de sesión único (SSO) empresarial de modo que utilice la ubicación de recepción o el puerto de envío de SOAP. En este tema se describe el funcionamiento de SSO con el adaptador de SOAP.

Compatibilidad de inicio de sesión único (SSO) con las ubicaciones de recepción de SOAP

Las ubicaciones de recepción soap admiten dos versiones del inicio de sesión único: BizTalk Server Enterprise SSO y Microsoft SharePoint Portal Server SSO. Ejecute el Asistente para publicación de servicios Web de BizTalk para habilitar la compatibilidad con inicio de sesión único (SSO) de SharePoint Portal Server. Para obtener más información sobre cómo habilitar SharePoint Portal Server SSO, vea Publishing Web Services. Active el inicio de sesión único (SSO) empresarial utilizando las páginas de propiedades de la ubicación de recepción de SOAP. Para obtener más información sobre cómo habilitar el inicio de sesión único de empresa para la ubicación de recepción SOAP, vea How to Configure a SOAP Receive Location.

Compatibilidad de inicio de sesión único (SSO) empresarial con las ubicaciones de recepción de SOAP

Internet Information Server (IIS) recibe una solicitud SOAP de un cliente Web y, posteriormente, procede a autenticar al usuario y pasa el identificador de seguridad al adaptador de SOAP. Si el método de autenticación de IIS es Autenticación de texto implícita, Autenticación básica o Autenticación de Windows integrada, el adaptador de SOAP llama al almacén de credenciales de SSO para obtener un vale cifrado basado en el usuario autenticado. Este vale se almacena como la propiedad SSOTicket en la propiedad de contexto del mensaje.

En un escenario de paso, el motor de mensajería de BizTalk dirige el mensaje a la base de datos de cuadros de mensajes. Cuando un adaptador de envío recibe el mensaje de la base de datos de cuadros de mensajes, llama al método RedeemTicket, con el vale cifrado y el nombre de la aplicación, a fin de recuperar del almacén de SSO las credenciales de seguridad de la aplicación. El adaptador de envío utiliza entonces las credenciales externas para conectarse a la aplicación y procesar la solicitud. Para obtener más información sobre las aplicaciones afiliadas, consulte Aplicaciones afiliadas de SSO.

En escenarios en los que una orquestación llama al adaptador de envío, el motor de mensajería de BizTalk envía el mensaje a la base de datos de cuadro de mensajes. La orquestación debe asegurarse de que tanto la propiedad de contexto SSOTicket como la propiedad de contexto Microsoft.BizTalk.XLANGs.BTXEngine.OriginatorSID del mensaje que contiene el vale se mantienen. Cuando el adaptador recibe el mensaje de la base de datos de cuadro de mensajes, el adaptador llama al método RedeemTicket con el vale cifrado para recuperar las credenciales de servidor del almacén de SSO. El usuario que diseñe la orquestación deberá copiar específicamente esta propiedad en el mensaje.

Compatibilidad de inicio de sesión único (SSO) de SharePoint Portal Server con las ubicaciones de recepción de SOAP

Al integrar con SharePoint Portal Server, BizTalk Server admite el uso de Microsoft SharePoint Portal Server SSO solo a través del adaptador SOAP. SharePoint Portal Server crea vales de SSO y los envía a BizTalk Server en un encabezado SOAP de la solicitud SOAP. Cuando el adaptador SOAP recibe una solicitud que contiene un vale de SSO, el vale se almacena como la propiedad SSOTicket en la propiedad de contexto del mensaje. Esta misma propiedad contendrá un vale de SSO empresarial. Cada mensaje de BizTalk solo puede tener asociado un vale de SSO.

En los escenarios de paso y de orquestación, el tratamiento de los vales de SSO recibidos de SharePoint Portal Server será el mismo que si el vale lo hubiese creado el adaptador de SOAP mediante SSO empresarial. Cuando un adaptador de envío recibe un mensaje, llama al método RedeemTicket con el vale cifrado que SharePoint Portal Server generado. No es necesario notificar al adaptador de envío que existen vales de SSO distintos. El método RedeemTicket determinará qué sistema de SSO generó el vale y lo canjeará del lugar adecuado.

Uso combinado de inicio de sesión único (SSO) empresarial e inicio de sesión único (SSO) de SharePoint Portal Server

BizTalk Server admite el uso simultáneo de ambos sistemas de SSO. La interfaz API podrá distinguir los vales generados por cada SSO, y procederá a canjearlos en la base de datos de SSO que corresponda. Si usa ambos sistemas SSO al mismo tiempo, las reglas siguientes determinan qué vale de SSO promueve la ubicación de recepción SOAP a la propiedad de contexto SSOTicket :

  • Si no se habilita ningún sistema de SSO, no se promocionará el vale.

  • Cuando el sistema de SSO empresarial está habilitado, pero el SSO de SharePoint Portal Server no lo está, se recupera y promociona el vale de SSO empresarial.

  • Cuando el SSO de SharePoint Portal Server está habilitado, pero el SSO empresarial no lo está, se promociona el vale de SSO de SharePoint Portal Server existente.

  • Si se ha habilitado el SSO empresarial y el SSO de SharePoint Portal Server:

    • Si se recibe el vale de SSO de SharePoint Portal Server, se promociona dicho vale.

    • Si no se recibe el vale de SSO de SharePoint Portal Server, se recupera y promociona el vale de SSO empresarial.

    Compatibilidad de inicio de sesión único (SSO) con el adaptador de envío SOAP

    Si el inicio de sesión único está habilitado, cuando un puerto de envío SOAP recibe un mensaje con la propiedad Secure (SSOTicket), llama al servidor SSO para validar y canjear el vale de una aplicación afiliada. La aplicación de administración, los administradores afiliados o los administradores de SSO de la aplicación afiliada pueden llamar a SSO para canjear un vale. SSO se encarga entonces de descifrar el vale y de obtener las credenciales de servidor. Los escenarios de paso a través y orquestación son los mismos para el puerto de envío SOAP, como se describe en la sección "Compatibilidad de SSO empresarial con ubicaciones de recepción SOAP" del tema Compatibilidad de Sign-On única para el adaptador SOAP.

    De manera predeterminada, el puerto de envío de SOAP no habilita el SSO. Para obtener más información sobre cómo habilitar el inicio de sesión único para el puerto de envío SOAP, vea How to Configure a SOAP Send Port.