다음을 통해 공유

SOAP 어댑터에 대한 Single Sign-On 지원

  • 아티클

BizTalk Server 관리 콘솔을 사용하여 SOAP 수신 위치 또는 송신 포트에 사용할 Enterprise SSO(단일 Sign-On)를 구성할 수 있습니다. 이 항목에서는 SOAP 어댑터를 사용하여 SSO를 작동하는 방법에 대해 설명합니다.

SOAP 수신 위치에 대한 Single Sign-On 지원

SOAP 수신 위치는 SSO와 Microsoft SharePoint Portal Server SSO를 BizTalk Server Enterprise 두 가지 버전의 SSO를 지원합니다. BizTalk 웹 서비스 게시 마법사를 실행하여 SharePoint Portal Server SSO를 지원하도록 설정할 수 있습니다. SharePoint Portal Server SSO를 사용하도록 설정하는 방법에 대한 자세한 내용은 웹 서비스 게시를 참조하세요. SOAP 수신 위치에 대한 속성 페이지를 사용하여 BizTalk Enterprise Single Sign-On을 사용하도록 설정할 수 있습니다. SOAP 수신 위치에 Enterprise SSO를 사용하도록 설정하는 방법에 대한 자세한 내용은 SOAP 수신 위치를 구성하는 방법을 참조하세요.

SOAP 수신 위치에 대한 Enterprise SSO 지원

IIS(인터넷 정보 서비스)는 웹 클라이언트에서 SOAP 요청을 받은 다음 사용자를 인증하고 보안 식별자를 SOAP 어댑터로 전달합니다. IIS 인증 방법이 다이제스트 인증, 기본 인증 또는 Windows 통합 인증인 경우 SOAP 어댑터는 SSO 자격 증명 저장소를 호출하여 인증된 사용자에 따라 암호화된 티켓을 가져옵니다. 이 티켓은 메시지의 컨텍스트 속성에 SSOTicket 속성으로 저장됩니다.

통과 시나리오에서 BizTalk 메시징 엔진은 메시지를 MessageBox 데이터베이스로 전달합니다. 송신 어댑터는 MessageBox 데이터베이스에서 메시지를 받을 경우 응용 프로그램 이름과 함께 암호화된 티켓으로 RedeemTicket 메서드를 호출하여 SSO 저장소에서 응용 프로그램의 보안 자격 증명을 검색합니다. 그런 다음 송신 어댑터는 외부 자격 증명을 사용하여 응용 프로그램에 연결하고 요청을 처리합니다. 관련 애플리케이션에 대한 자세한 내용은 SSO 관련 애플리케이션을 참조하세요.

오케스트레이션이 송신 어댑터를 호출하는 시나리오에서 BizTalk 메시징 엔진은 메시지를 MessageBox 데이터베이스로 보냅니다. 오케스트레이션은 티켓을 포함하는 메시지의 SSOTicket 컨텍스트 속성과 Microsoft.BizTalk.XLANGs.BTXEngine.OriginatorSID 컨텍스트 속성이 모두 유지되도록 해야 합니다. 어댑터는 MessageBox 데이터베이스에서 이 메시지를 받을 경우 암호화된 티켓으로 RedeemTicket 메서드를 호출하여 SSO 저장소에서 백 엔드 자격 증명을 검색합니다. 오케스트레이션을 디자인하는 사용자는 특히 이 속성을 메시지에 복사해야 합니다.

SOAP 수신 위치에 대한 SharePoint Portal Server SSO 지원

SharePoint Portal Server 통합할 때 BizTalk Server SOAP 어댑터를 통해서만 Microsoft SharePoint Portal Server SSO 사용을 지원합니다. SharePoint Portal Server는 SSO 티켓을 만들어 SOAP 요청의 SOAP 헤더에 포함하여 BizTalk Server로 보냅니다. SOAP 어댑터가 SSO 티켓이 포함된 요청을 받으면 티켓은 메시지의 컨텍스트 속성에 SSOTicket 속성으로 저장됩니다. 이 속성에 Enterprise SSO 티켓이 포함됩니다. 하나의 SSO 티켓만 BizTalk 메시지에 연결될 수 있습니다.

통과 시나리오와 오케스트레이션 시나리오에서는 SharePoint Portal Server에서 받은 SSO 티켓이 Enterprise SSO를 사용하여 SOAP 어댑터가 티켓을 만든 경우와 동일하게 처리됩니다. 송신 어댑터가 메시지를 받으면 생성된 암호화된 티켓을 사용하여 RedeemTicket 메서드를 호출합니다SharePoint Portal Server 송신 어댑터는 여러 가지 SSO 티켓이 있는 것을 인식할 필요가 없습니다. RedeemTicket 메서드는 티켓을 생성한 SSO 시스템을 결정하고 적절한 위치에서 교환합니다.

Enterprise SSO와 SharePoint Portal Server SSO의 결합된 사용

BizTalk Server 두 SSO 시스템의 동시 사용을 지원합니다. API는 각 SSO에서 생성한 티켓을 구별할 수 있으며 적절한 SSO 데이터베이스에서 티켓을 교환합니다. 두 SSO 시스템을 동시에 사용하는 경우 다음 규칙은 SOAP 수신 위치가 SSOTicket 컨텍스트 속성으로 승격하는 SSO 티켓을 결정합니다.

  • SSO가 둘 다 사용하도록 설정되어 있지 않으면 티켓을 승격하지 않습니다.

  • Enterprise SSO가 사용하도록 설정되어 있지만 SharePoint Portal Server SSO가 사용하도록 설정되어 있지 않으면 Enterprise SSO 티켓을 검색하고 승격합니다.

  • SharePoint Portal Server SSO가 사용하도록 설정되어 있지만 Enterprise SSO가 사용하도록 설정되어 있지 않으면 기존 SharePoint Portal Server SSO 티켓을 승격합니다.

  • Enterprise SSO와 SharePoint Portal Server SSO가 둘 다 사용하도록 설정된 경우:

    • SharePoint Portal Server SSO 티켓이 수신된 경우 이 티켓을 승격합니다.

    • SharePoint Portal Server SSO 티켓이 수신되지 않은 경우 Enterprise SSO 티켓을 검색하고 승격합니다.

    SOAP 송신 어댑터에 대한 Single Sign-On 지원

    SSO가 사용하도록 설정된 경우 SOAP 송신 포트가 Secure 속성(SSOTicket)이 포함된 메시지를 받으면 SSO 서버를 호출하여 관련 애플리케이션에 대한 티켓의 유효성을 검사하고 사용합니다. 관리 응용 프로그램, 관련 관리자 또는 관련 응용 프로그램의 SSO 관리자는 SSO를 호출하여 티켓을 교환할 수 있습니다. 그런 다음 SSO는 티켓의 암호를 해독하고 백 엔드 자격 증명을 가져옵니다. 통과 및 오케스트레이션 시나리오는 SOAP 어댑터에 대한 단일 Sign-On 지원 항목의 "SOAP 수신 위치에 대한 엔터프라이즈 SSO 지원" 섹션에 설명된 대로 SOAP 송신 포트에 대해 동일합니다.

    기본적으로 SOAP 송신 포트는 SSO를 사용하도록 설정하지 않습니다. SOAP 송신 포트에 SSO를 사용하도록 설정하는 방법에 대한 자세한 내용은 SOAP 송신 포트를 구성하는 방법을 참조하세요.