WCF アダプターのシングル サインオンのサポート
BizTalk 管理コンソールを使用して、WCF 受信場所または送信ポートで使用するエンタープライズ シングル サインオン (SSO) を構成できます。 ここでは、SSO と WCF アダプターの連携について説明します。
ユーザーがさまざまなシステムおよびアプリケーションを操作するエンタープライズ環境では、複数のプロセス、製品、およびコンピューターでユーザー コンテキストが保持されないことがよくあります。 このユーザー コンテキストは、元の要求を開始したユーザーを確認する必要があるため、シングル サインオン機能を提供するために重要です。 この問題を解決するために、エンタープライズ シングル サインオン (SSO) には、SSO チケットが用意されており、アプリケーションで元の要求を行ったユーザーに対応する資格情報を取得する際に使用できます。このチケットは Kerberos チケットではありません。
受信アダプターでメッセージが取得されると、アダプターは SSO サーバーから SSO チケットを要求できます。 この暗号化されたチケットには、要求を行ったユーザーの Windows ID とタイムアウト期間が含まれます。 チケットが取得されると、チケットは受信メッセージにプロパティとして追加されます。 メッセージの送信時、送信アダプターは、発行された SSO チケットおよびアダプターが資格情報を取得しようとする関連アプリケーション名を使用して、SSO サーバーに問い合わせます。 SSO サーバーは対象の関連アプリケーションのユーザー資格情報を参照した後、その資格情報を送信アダプターに返します。送信アダプターはその資格情報を使用して、適切に認証されたメッセージを関連アプリケーションに送信します。
WCF 受信場所のシングル サインオンのサポート
適用されるセキュリティ設定と、受信場所に使用される WCF アダプターの種類の組み合わせにより、WCF 受信アダプターが SSO チケットを発行できるかどうかが決まります。 WCF 受信場所が SSO トークンを発行するには、WCF クライアントはアダプターが偽装できる資格情報を送信する必要があります。 偽装とは、サーバー アプリケーションがクライアントの ID を使用できることを意味します。 資格情報は、適切な偽装のために有効な Windows ユーザー アカウントにマップする必要があります。
Note
クライアントに偽装のための資格情報の送信を要求しないセキュリティ設定と WCF アダプターの場合、クライアントがカスタム受信パイプライン コンポーネントで送信する任意の種類の資格情報を使用して、SSO チケットを発行できます。 受信パイプライン コンポーネントで SSO チケットを処理する方法の詳細については、 サービス指向ソリューションのファイル インベントリに含まれるサンプル パイプライン コンポーネント InPipelineComp を参照してください。
WCF-BasicHttp 受信場所のシングル サインオンのサポート
WCF-BasicHttp 受信アダプターは、次の表に示すセキュリティ構成でのみ SSO サーバーから SSO チケットを発行できます。
Note
Windows ユーザー アカウントへの証明書のマッピングの詳細については、「ユーザー アカウントへの証明書のマッピング」 https://go.microsoft.com/fwlink/?LinkId=87478を参照してください。
| [セキュリティ モード] | トランスポート クライアントの資格情報の種類 | 証明書 |
|---|---|---|
| トランスポート | Basic | 該当なし |
| トランスポート | ダイジェスト | 該当なし |
| トランスポート | Ntlm | 該当なし |
| トランスポート | Windows | 該当なし |
| トランスポート | Certificate | 該当なし |
| Message | 該当なし | UserName |
| Message | 該当なし | Certificate |
| TransportWithMessageCredential | 該当なし | Certificate |
| TransportWithMessageCredential | 該当なし | UserName |
| TransportCredentialOnly | Basic | 該当なし |
| TransportCredentialOnly | ダイジェスト | 該当なし |
| TransportCredentialOnly | Ntlm | 該当なし |
| TransportCredentialOnly | Windows | 該当なし |
| TransportCredentialOnly | Certificate | 該当なし |
WCF-WSHttp 受信場所のシングル サインオンのサポート
WCF-WSHttp 受信アダプターは、次の表に示すセキュリティ構成でのみ SSO サーバーから SSO チケットを発行できます。
| [セキュリティ モード] | トランスポート クライアントの資格情報の種類 | 証明書 |
|---|---|---|
| トランスポート | Basic | 該当なし |
| トランスポート | ダイジェスト | 該当なし |
| トランスポート | Ntlm | 該当なし |
| トランスポート | Windows | 該当なし |
| トランスポート | Certificate | 該当なし |
| Message | 該当なし | UserName |
| Message | なし | Windows |
| メッセージ | 該当なし | Certificate |
| TransportWithMessageCredential | なし | Windows |
| TransportWithMessageCredential | 該当なし | Certificate |
| TransportWithMessageCredential | 該当なし | UserName |
WCF-NetTcp 受信場所のシングル サインオンのサポート
WCF-NetTcp 受信アダプターは、次の表に示すセキュリティ構成でのみ SSO サーバーから SSO チケットを発行できます。
| [セキュリティ モード] | トランスポート クライアントの資格情報の種類 | 証明書 |
|---|---|---|
| トランスポート | Windows | 該当なし |
| トランスポート | Certificate | 該当なし |
| Message | 該当なし | Certificate |
| Message | なし | Windows |
| メッセージ | 該当なし | UserName |
| TransportWithMessageCredential | 該当なし | Certificate |
| TransportWithMessageCredential | なし | Windows |
| TransportWithMessageCredential | 該当なし | UserName |
WCF-NetNamedPipe受信場所の S ingle Sign-On サポート
WCF-NetNamedPipe 受信アダプターは、次の表に示すセキュリティ構成でのみ、SSO サーバーから SSO チケットを発行できます。
| [セキュリティ モード] | トランスポート クライアントの資格情報の種類 | 証明書 |
|---|---|---|
| トランスポート | 該当なし | 該当なし |
WCF-Custom および WCF-CustomIsolated 受信場所のシングル サインオンのサポート
WCF-Custom および WCF-CustomIsolated 受信場所が SSO チケットを発行するには、受信場所で使用されるセキュリティ設定で、Windows Communication Foundation が偽装できる資格情報を WCF クライアントから送信するようにします。 WCF は、さまざまな種類のクライアント資格情報の偽装をサポートしています。 WCF が偽装のためにサポートする資格情報の種類の詳細については、 の「WCF での委任と偽装」 https://go.microsoft.com/fwlink/?LinkId=87476を参照してください。
WCF 送信ポートのシングル サインオンのサポート
WCF 送信ポートでは、次の表に示すセキュリティ構成でのみ、SSO に使用する関連アプリケーション名を指定できます。
| [セキュリティ モード] | トランスポート クライアントの資格情報の種類 | 証明書 |
|---|---|---|
| トランスポート | ダイジェスト | 該当なし |
| トランスポート | Basic | 該当なし |
| Message | 該当なし | UserName |
Note
WCF 送信ポートで SSO チケットを正しく検証して引き換えるためには、送信するメッセージで SSOTicket および OriginatorSID コンテキスト プロパティを使用できる必要があります。 シングル サインオンが有効になっている受信場所は、これらのプロパティを送信者の Windows アカウントから昇格させることができます。