次の方法で共有

SOAP アダプターのシングル サインオンのサポート

  • [アーティクル]

BizTalk Server 管理コンソールを使用して、SOAP 受信場所または送信ポートで使用するエンタープライズ シングル サインオン (SSO) を構成できます。 ここでは、SSO と SOAP アダプターの連携について説明します。

SOAP 受信場所のシングル サインオンのサポート

SOAP 受信場所では、SSO と Microsoft SharePoint Portal Server SSO BizTalk Server Enterprise 2 つのバージョンの SSO がサポートされています。 SharePoint Portal Server SSO のサポートを有効にするには、BizTalk Web サービス公開ウィザードを実行します。 SharePoint Portal Server SSO の有効化の詳細については、「Web サービスの発行」を参照してください。 BizTalk エンタープライズ シングル サインオンを有効にするには、SOAP 受信場所のプロパティ ページを使用します。 SOAP 受信場所に対して Enterprise SSO を有効にする方法の詳細については、「 SOAP 受信場所を構成する方法」を参照してください。

SOAP 受信場所のエンタープライズ SSO のサポート

インターネット インフォメーション サービス (IIS) では Web クライアントから SOAP 要求を受信し、ユーザーを認証した後、SOAP アダプターにセキュリティ識別子を渡します。 IIS の認証方法がダイジェスト認証、基本認証、統合 Windows 認証のいずれかである場合、暗号化されたチケットを取得するために、認証を受けたユーザーに基づいて SSO 資格情報ストアが呼び出されます。 このチケットは、 SSOTicket プロパティとしてメッセージのコンテキスト プロパティに格納されます。

パススルー シナリオでは、BizTalk メッセージング エンジンによって、メッセージ ボックス データベースにメッセージが送信されます。 送信アダプターでは、メッセージ ボックス データベースからメッセージを受信すると、暗号化されたチケットおよびアプリケーション名を指定して RedeemTicket メソッドを呼び出し、そのアプリケーションで使用するセキュリティ資格情報を SSO ストアから取得します。 その後、外部の資格情報を使用してアプリケーションに接続し、SOAP 要求が処理されます。 関連アプリケーションの詳細については、「 SSO 関連アプリケーション」を参照してください。

オーケストレーションが送信アダプターを呼び出すシナリオでは、BizTalk メッセージング エンジンによって、メッセージ ボックス データベースにメッセージが送信されます。 オーケストレーションでは 、SSOTicket コンテキスト プロパティと、チケットを含むメッセージの Microsoft.BizTalk.XLANGs.BTXEngine.OriginatorSID コンテキスト プロパティの両方が維持されるようにする必要があります。 HTTP アダプターでは、メッセージ ボックス データベースからこのメッセージを受信すると、暗号化されたチケットを指定して RedeemTicket メソッドを呼び出し、バックエンドの資格情報を SSO ストアから取得します。 オーケストレーションをデザインするユーザーは、このプロパティをメッセージに明示的にコピーしてください。

SOAP 受信場所の SharePoint Portal Server SSO のサポート

SharePoint Portal Serverと統合する場合、BizTalk Serverでは SOAP アダプター経由でのみ Microsoft SharePoint Portal Server SSO の使用がサポートされます。 SharePoint Portal Server では SSO チケットを作成し、SOAP 要求の SOAP ヘッダーに格納して BizTalk Server に送信します。 SOAP アダプターが SSO チケットを含む要求を受信すると、チケットは SSOTicket プロパティとしてメッセージのコンテキスト プロパティに格納されます。 このプロパティには、エンタープライズ SSO チケットも格納されます。 1 つの BizTalk メッセージには、1 つの SSO チケットのみを関連付けることができます。

パススルーおよびオーケストレーションのシナリオで SharePoint Portal Server から受信した SSO チケットは、エンタープライズ SSO を使用して SOAP アダプターで作成されたチケットと同様に処理されます。 送信アダプターは、メッセージを受信すると、生成された暗号化されたチケットを使用して RedeemTicket メソッドSharePoint Portal Server呼び出します。 異なる種類の SSO チケットが存在していることを送信アダプターで認識する必要はありません。 RedeemTicket メソッドは、チケットを生成した SSO システムを決定し、適切な場所からチケットを引き換える方法です。

エンタープライズ SSO と SharePoint Portal Server SSO の併用

BizTalk Server では、両方の SSO システムの同時使用をサポートしています。 それぞれの SSO で生成したチケットを API で区別できるので、適切な SSO データベースで引き換えることができます。 両方の SSO システムを同時に使用する場合、SOAP 受信場所が SSOTicket コンテキスト プロパティに昇格する SSO チケットは、次の規則によって決定されます。

  • いずれの SSO も有効でない場合、チケットを昇格しません。

  • エンタープライズ SSO が有効であり、SharePoint Portal Server SSO が有効でない場合、エンタープライズ SSO チケットを取得して昇格します。

  • SharePoint Portal Server SSO が有効であり、エンタープライズ SSO が有効でない場合、既存の SharePoint Portal Server SSO チケットを昇格します。

  • エンタープライズ SSO と SharePoint Portal Server SSO がともに有効である場合、さらに次の規則が適用されます。

    • SharePoint Portal Server SSO チケットを受信した場合、そのチケットを昇格します。

    • SharePoint Portal Server SSO チケットを受信していない場合、エンタープライズ SSO チケットを取得して昇格します。

    SOAP 送信アダプターのシングル サインオンのポート

    SSO が有効になっている場合、SOAP 送信ポートが Secure プロパティ (SSOTicket) を含むメッセージを受信すると、SSO サーバーを呼び出して関連アプリケーションのチケットを検証して引き換えます。 SSO を呼び出してチケットを引き換える作業は、関連アプリケーションのアプリケーション管理者、関連管理者、または SSO 管理者が行います。 その後、SSO によってチケットが解読され、バックエンド資格情報を取得します。 SOAP 送信ポートのパススルーとオーケストレーションのシナリオは、トピック「SOAP アダプターの単一 Sign-On サポート」の「SOAP 受信場所のエンタープライズ SSO サポート」セクションで説明されているように同じです。

    既定では、SOAP 送信ポートの SSO は有効になっていません。 SOAP 送信ポートの SSO を有効にする方法の詳細については、「SOAP 送信ポート を構成する方法」を参照してください。