安全级别
应用程序级 (或包级) 安全性和用户级安全性是两种首选身份验证方法,因为它们将大型机的安全性与 Windows 安全性集成。 事务集成商 (TI) 运行时环境从 COM+ 应用程序的 Windows 标识或从调用包含 TI 组件的 TI 自动化服务器的客户端应用程序的标识获取凭据。
在这两种情况下,都需要 Host Integration Server Enterprise Single Sign-On (ESSO) 。 Windows 凭据是 replicated、 unchanged或 mapped 特定于大型机的另一组凭据。 然后,凭据将发送到大型机进行身份验证。
在内部,该机制的工作方式如下。 对于 COM+ 应用程序标识凭据,TI 将 MC_ALLOCATE 谓词中的用户 ID 和密码字段设置为 MS$SAME,并将安全字段设置为 AP_PGM。 这会通知 HSI 为当前正在执行的进程所有者派生主机凭据。
对于用户凭据,TI 将 MC_ALLOCATE 谓词中的安全字段设置为使用 AP_PROXY AP_PGM OR,并使用从 LookupAccountSid Win32 API) (获取的值填充谓词 ctl 块中的域和帐户名称字段。 这将通知 ESSO 派生与该 Windows 帐户对应的主机凭据,而不考虑正在运行的进程。 换句话说,运行进程充当真实用户的代理,并传递真实用户的凭据。