エンタープライズ シングル Sign-On の概要
数種類のアプリケーションに依存するビジネス プロセスでは、いくつかの異なるセキュリティ ドメインへのアクセスが必要になる場合があります。 たとえば、Microsoft Windows システムのアプリケーションにアクセスするときには、それに応じたセキュリティ資格情報のセットを使用する必要があり、IBM メインフレームのアプリケーションにアクセスするときには、RACF ユーザー名やパスワードなど、別の資格情報を使用する必要があります。 このような多くの資格情報を操作することはユーザーにとって不便なだけでなく、プロセスの自動化にとって大きな障害となります。 この問題に対処するために、BizTalk Serverには Enterprise シングル サインオンが含まれています。
混乱しないでください。これは、すべてのアプリケーションに対して 1 つのログインをユーザーに許可するメカニズムではありません。 Windows ユーザー ID を Windows 以外のユーザー資格情報にマップする方法を提供するものです。 このサービスによって組織のエンタープライズ サインオンに関するすべての問題が解決されるわけではありませんが、さまざまなシステムのアプリケーションを使用するビジネス プロセスの作業をより単純化できます。
Windows 以外のシステム用の関連アプリケーションを作成する
エンタープライズ シングル サインオンを使用する場合、管理者は、関連アプリケーションを定義します。各関連アプリケーションは、Windows 以外のシステムまたはアプリケーションを表します。 たとえば、関連アプリケーションは、IBM メインフレームで実行される CICS アプリケーション、UNIX で実行される SAP ERP システム、またはその他さまざまな種類のソフトウェアである場合があります。 これらの各アプリケーションには、認証用の独自のメカニズムがあるので、各アプリケーションには一意の資格情報が必要です。
エンタープライズ シングル サインオンにより、ユーザーの Windows ユーザー ID と 1 つ以上の関連アプリケーション用の資格情報とのマッピングが暗号化されて SSO データベースに格納されます。 このユーザーが関連アプリケーションにアクセスする必要があるとき、シングル サインオン (SSO) サーバーによりそのアプリケーション用の資格情報が SSO データベースから検索されます。 このしくみを次の図に示します。
この例では、任意のアプリケーションから BizTalk Server に送信されたメッセージがオーケストレーションによって処理され、IBM メインフレームで実行されている関連アプリケーションに送信されます。 エンタープライズ シングル サインオンの役割は、メッセージが関連アプリケーションに送信されるときに、メッセージと共に正しい資格情報 (正しいユーザー名とパスワード) が送信されるようにすることです。
SSO チケットによるメッセージ処理
図に示されているように、受信アダプターでメッセージが取得されると、アダプターは SSO サーバー A から SSO チケットを要求できます (ステップ 1)。 この暗号化されたチケットには、要求を行ったユーザーの Windows ID と、タイムアウト期間が含まれます (Kerberos チケットと混同しないでください。同じではありません)。チケットが取得されると、受信メッセージにプロパティとして追加されます。 その後、メッセージは通常の経路で BizTalk Server エンジンに送られます。この例では、メッセージはオーケストレーションによって処理されます。 このオーケストレーションによって送信メッセージが生成されるとき、生成されたメッセージには上記で取得した SSO チケットも含まれます。
この新しいメッセージは IBM メインフレームで実行されているアプリケーションに送信されます。このため、メッセージには、ユーザーがアプリケーションにアクセスするための適切な資格情報が含まれている必要があります。 送信アダプターは、これらの資格情報を取得するために、SSO サーバー B に問い合わせます (ステップ 2)。その際、受信したメッセージ (SSO チケットを含む) および資格情報を取得する関連アプリケーションの名前が提供されます。 この操作は償還と呼ばれます。SSO サーバー B によって SSO チケットが検証され、関連アプリケーション用のユーザーの資格情報が検索されます (ステップ 3)。 SSO サーバー B から、資格情報が送信アダプターに返されます (ステップ 4)。次に、送信アダプターから関連アプリケーションに、適切に認証されたメッセージが資格情報と共に送信されます (ステップ 5)。
SSO の管理
エンタープライズ シングル サインオンには、さまざまな操作を実行する管理ツールも含まれています。 たとえば、SSO データベースで実行される操作はすべて監査されるため、管理者がこれらの操作を監視してさまざまな監査レベルを設定するのに使用できるツールが提供されています。 管理者は、これらのツールを使用して、特定の関連アプリケーションを無効にしたり、ユーザーに対して個別のマッピングの有効化や無効化を行うなど、さまざまな機能を実行できます。 さらに、エンド ユーザーが独自の資格情報とマッピングを構成できるクライアント ユーティリティもあります。 BizTalk Server の他の部分と同様に、エンタープライズ シングル サインオンでは、プログラム可能な API を介してサービスにアクセスできるようになっています。 この API を使用すると、サード パーティの BizTalk Server アダプターの作成者はシングル サインオン サービスにアクセスでき、管理者は一般的なタスクを自動化するスクリプトを作成できます。
上の例では、エンタープライズ シングル サインオンの一般的な使用事例を示していますが、これ以外の方法で SSO を構成することもできます。 たとえば、より小規模な環境で BizTalk Server を使用する場合は、SSO サーバーを 1 つだけ使用します。また、エンタープライズ シングル サインオンを BizTalk Server エンジンとは独立して使用することができます (このテクノロジは Microsoft Host Integration Server にも付属しています)。