Usare l'accesso SSO con l'integratore di transazioni - HIS
Single Sign-On in Transaction Integrator
Single Sign-On (SSO) è un meccanismo che consente a un utente di immettere un nome utente e una password una sola volta per accedere a più applicazioni. Offre agli utenti l'accesso semplificato e la manutenzione delle molte password necessarie per accedere ai sistemi Windows e back-end e/o alle applicazioni. Consente alle applicazioni di integrare automatizzando il processo di accesso al sistema host/back-end.
In generale, sono disponibili tre tipi di servizi di accesso Single Sign-On:
Single Sign-On di autenticazione comune: Questi servizi consentono di connettersi a più applicazioni all'interno del computer. Le credenziali vengono richieste e verificate una volta quando si accede al computer e queste credenziali vengono usate per determinare le azioni che è possibile eseguire in base alle autorizzazioni. Un esempio di questo tipo di accesso Single Sign-On è Exchange Server, che usa La sicurezza integrata di Windows. Dopo aver eseguito l'accesso a Windows, non è necessario fornire credenziali aggiuntive per accedere alla posta elettronica.
Accesso Single Sign-On Internet: Questi servizi consentono di accedere alle risorse tramite Internet usando un singolo set di credenziali utente. L'utente fornisce un insieme di credenziali per accedere a diversi siti Web che appartengono a organizzazioni diverse. Un esempio di questo tipo di accesso Single Sign-On è Windows Live ID.
Accesso Single Sign-On Intranet: Questi servizi consentono di connettersi a più applicazioni e sistemi eterogenei all'interno dell'ambiente aziendale nell'azienda. Un esempio di questo tipo di accesso Single Sign-On è Enterprise Single Sign-On, che fornisce un framework per le applicazioni Windows da integrare con applicazioni non Windows per abilitare l'accesso Single Sign-On.
L'accesso Single Sign-On facilita la traduzione delle credenziali dalla Procedura guidata criteri di sicurezza. L'accesso SSO consente di definire e gestire la relazione tra l'ID utente host esterno e le credenziali della password per le credenziali di Windows. La base per la gestione di queste relazioni è l'applicazione affiliata SSO.
Un'applicazione associata è un raggruppamento di identità utente host ben definite in un'entità logica che riflette la vista degli amministratori host dei sistemi di elaborazione delle applicazioni negli ambienti non Windows.
Quando l'accesso SSO viene passato un set di credenziali host (ID utente e password) insieme a un'applicazione associata SSO valida, SSO restituisce un token di accesso di Windows che rappresenta le credenziali di Windows. HIP usa questo token di accesso durante la configurazione del thread di esecuzione per i metodi nell'oggetto server.
Per semplificare questo processo, i criteri di sicurezza devono conoscere quali applicazioni associate SSO devono essere eseguite in un tentativo di ottenere l'accesso alle credenziali di Windows (token di accesso) necessarie per eseguire metodi nell'oggetto server. Il riquadro della procedura guidata consente all'utente di selezionare da un elenco di applicazioni associate SSO valide e aggiungerle ai criteri di sicurezza definiti. Il riquadro procedura guidata consente anche all'utente di rimuovere applicazioni associate SSO definite in precedenza ai criteri di sicurezza.
SSO con elaborazione Host-Initiated
Quando si usa la sicurezza Single Sign-On (SSO) con l'elaborazione avviata dall'host (HIP), la rappresentazione delle credenziali utente viene gestita in modo diverso a seconda che si chiami un oggetto .NET o un oggetto COM. Se HIP chiama un oggetto .NET, non sono presenti considerazioni speciali; l'ambiente di runtime di Transaction Integrator (TI) rappresenta l'account utente. Se HIP chiama un oggetto COM, tuttavia, esistono considerazioni speciali.
A seconda del modello di threading e del tipo di registrazione dei componenti, le azioni seguenti si verificano quando HIP chiama il metodo di un oggetto .COM quando rappresenta un account utente (quella a cui le credenziali host sarebbero state mappate tramite SSO):
| Modello di threading | Registrazione | Azioni |
|---|---|---|
| Singolo, appartamento | Applicazione Server/Library/No COM+ | - I metodi dell'oggetto server vengono chiamati in identità configurata dall'applicazione HIP Service/COM+. - I metodi dell'oggetto server chiamano CoImpersonateClient per avviare la rappresentazione dell'identità utente. - Facoltativamente, i metodi possono chiamare CoRevertToSelf, anche se non è necessario perché COM lo chiamerà comunque dopo che il metodo restituisce. |
| Libera, entrambe, neutrali | Applicazione COM+ server | - I metodi dell'oggetto server vengono chiamati in identità configurata dall'applicazione HIP Service/COM+. - I metodi dell'oggetto server chiamano CoImpersonateClient per avviare la rappresentazione dell'identità utente. - Facoltativamente, i metodi possono chiamare CoRevertToSelf, anche se non è necessario perché COM lo chiamerà comunque dopo che il metodo restituisce. |
| Libera, entrambe, neutrali | Libreria/Nessuna applicazione COM+ | - I metodi dell'oggetto server vengono chiamati sotto l'identità utente rappresentata. - Il metodo dell'oggetto server non deve chiamare CoImpersonateClient o CoRevertToSelf perché non riuscirebbe con RPC_E_CALL_COMPLETE. |
Se si esegue la programmazione in Microsoft Visual Basic® 6.0, assicurarsi di includere le dichiarazioni CoImpersonateClient e CoRevertToSelf nei programmi:
Private Declare Function CoImpersonateClient Lib "ole32.dll" () As Long
Private Declare Function CoRevertToSelf Lib "ole32.dll" () As Long