單一登入程式設計概觀
依靠多個不同應用程式的商務程序,可能需要面對處理多個不同安全性網域的課題。 存取 Microsoft Windows 作業系統的應用程式,可能需要一組安全性認證;存取 IBM 大型主機上的應用程式,則可能需要不同的認證。 使用者要處理這麼大量的認證十分不易,而且對於自動化程序會造成更大的難題。 若要解決此問題,BizTalk Server 包含 Enterprise Single Sign-On (SSO) 。 SSO 讓您能將 Windows 使用者識別碼對應至非 Windows 使用者認證。 這項服務可以簡化使用不同系統之應用程式的商務程序。
若要使用 SSO,系統管理員會定義附屬應用程式,每個應用程式都代表非 Windows 系統或應用程式。 附屬應用程式可以是在 IBM 大型主機執行的「客戶資訊控制系統」(CICS) 應用程式,在 UNIX 執行的 SAP ERP 系統,或是其他任何種類的軟體。 這些應用程式每一個都有自己的驗證機制,因此每一個都需要自己特有的認證。
SSO 會儲存使用者的 Windows 使用者識別碼與一或多個附屬應用程式相關認證之間的加密對應。 這些相連結的對應組儲存在 SSO 資料庫中。 SSO 以兩種方式使用 SSO 資料庫。 第一種方式稱為 Windows 起始的單一登錄,會使用使用者標識符來判斷用戶可存取的關聯應用程式。 例如,Windows 用戶帳戶可能會與在遠端 IBM i 伺服器上執行的 DB2 資料庫授與存取權的認證連結。 第二種方式稱為 主機起始的單一登錄,會反向運作:判斷哪些遠端應用程式可以存取指定的使用者標識碼,以及使用該帳戶的許可權。 例如,遠端應用程式可以與將存取權限授與 Windows 網路上擁有管理權限的使用者帳戶的認證連結。
請注意:SSO 也包含可執行各種作業的管理工具。 在 SSO 資料庫上執行的所有作業都會接受稽核;例如,系統管理員可使用提供的工具,監視這些作業以及設定不同的稽核層次。 系統管理員還可使用其他工具停用特定的附屬應用程式,開啟和關閉使用者的個別對應,以及執行其他功能。 還有一個用戶端程式,可以讓使用者設定自己的認證和對應。
「企業單一登入」的其中一項管理需求為:本機系統必須知道登入遠端系統所需的認證。 同理,遠端系統也必須知道本機系統上的認證。 因此,在更新您的認證時,例如,當您更新本機電腦的密碼時,也必須通知遠端系統您已經更新密碼。 您設計用來跨企業同步處理密碼的元件稱為 密碼同步配接器。