Bagikan melalui

Dukungan SSO untuk Send Adapters

  • Artikel

Enterprise Single Sign-On (SSO) menyediakan layanan untuk menyimpan dan mengirimkan kredensial pengguna terenkripsi di seluruh batas lokal, jaringan, dan domain. Saat membuat adaptor transportasi, Anda dapat memanfaatkan API SSO untuk menangani kredensial pengguna yang digunakan adaptor transportasi untuk mengakses aplikasi back-end.

Adaptor transportasi yang tidak mendukung SSO biasanya diperlukan untuk dikonfigurasi dengan satu set kredensial yang mereka gunakan untuk mengakses aplikasi back-end. Untuk banyak sistem back-end, autentikasi akun tunggal mungkin tidak memenuhi semua penegakan keamanan. Banyak aplikasi memberikan hak akses yang berbeda tergantung pada pengguna yang mengaksesnya. SSO memungkinkan adaptor untuk secara dinamis memilih kredensial yang akan digunakan untuk titik akhir berdasarkan pengguna yang mencoba mengaksesnya.

Cara Kerja Adaptor Pengiriman dengan SSO

Kirim adaptor yang mendukung SSO memvalidasi dan menukarkan tiket dan mendapatkan kredensial pengguna dari sistem SSO dengan menggunakan ISSOTicket.ValidateAndRedeemTicket API. Adaptor menggunakan kredensial yang diperoleh untuk mengautentikasi dengan titik akhir tujuan.

Fragmen kode berikut menunjukkan bagaimana adaptor pengiriman mendapatkan kredensial pengguna dari sistem SSO:

public class MyAdapter : IBTTransport,   
                         IBTTransportConfig,   
                         IBTTransportControl,  
                        IPersistPropertyBag,   
                         IBaseComponent  
{  
...  
     private string m_UserName = null;  
     private string m_UserPassword = null;  
  
 // Get user credentials from SSO  
 // AffiliateAppVal is the name of SSO affiliate   
 // application for the specific destination endpoint  
     private void GetUserCredentials(  
 IBaseMessage message,   
 string AffiliateAppVal )  
     {  
 string creds[] = null;  
 string externalUserName = null;  
  
 ISSOTicket ssoTicket = new ISSOTicket();  
 creds = ssoTicket.ValidateAndRedeemTicket(  
 message,   
 AffiliateAppVal,   
 0,   
 out externalUserName);  
  
 m_UserName = externalUserName;  
 m_UserPassword = creds[0];  
     }  
...  
}

Resolusi Pihak

Komponen alur Resolusi Pihak bertanggung jawab untuk memetakan sertifikat pengirim atau pengidentifikasi keamanan pengirim (SID) ke pihak BizTalk Server yang dikonfigurasi yang sesuai. Adaptor yang memiliki informasi ini tersedia untuk mereka harus mengatur dua properti konteks pesan sistem, WindowsUser dan SignatureCertificate, untuk digunakan oleh komponen resolusi pihak hilir jika dikonfigurasi.

Properti WindowsUser diisi dengan pengguna domain pengirim, misalnya redmond\myBtsUser. Properti SignatureCertificate diisi dengan thumbprint sertifikat autentikasi klien.

Mengelola kata sandi

Jika Anda meletakkan kredensial langsung di properti titik akhir, bidang kata sandi akan dikosongkan saat Anda perlu mengekspor file pengikatan. Ini akan mengharuskan pengguna Anda untuk memasukkan kembali kata sandi sebagai administrator. Anda dapat menghindari kesulitan ini dengan menggunakan SSO untuk kredensial.