複数の異なるアプリケーションに依存するビジネス プロセスは、複数の異なるセキュリティ ドメインに対処するという課題に直面する可能性があります。 Microsoft Windows オペレーティング システム上のアプリケーションにアクセスするには、1 つのセキュリティ資格情報のセットが必要になる場合があります。一方、IBM メインフレーム上のアプリケーションにアクセスするには、異なる資格情報が必要な場合があります。 この資格情報の拡散に対処することはユーザーにとって困難であり、プロセスを自動化するためのさらに大きな課題を引き起こす可能性があります。 この問題に対処するために、BizTalk Server には Enterprise Single Sign-On (SSO) が含まれています。 SSO を使用すると、Windows ユーザー ID を Windows 以外のユーザー資格情報にマップできます。 このサービスにより、さまざまなシステムでアプリケーションを使用するビジネス プロセスを簡略化できます。
SSO を使用するために、管理者は関連アプリケーションを定義します。各アプリケーションは Windows 以外のシステムまたはアプリケーションを表します。 関連アプリケーションは、IBM メインフレーム上で実行されている Customer Information Control System (CICS) アプリケーション、UNIX 上で実行されている SAP ERP システム、またはその他の種類のソフトウェアである可能性があります。 これらのアプリケーションにはそれぞれ独自の認証メカニズムがあるため、それぞれに固有の資格情報が必要です。
SSO では、ユーザーの Windows ユーザー ID と、関連付けられている 1 つ以上の関連アプリケーションの資格情報との間の暗号化されたマッピングが格納されます。 これらのリンクされたペアは、SSO データベースに格納されます。 SSO では、2 つの方法で SSO データベースが使用されます。 Windows によって開始されるシングル サインオンと呼ばれる最初の方法では、ユーザー ID を使用して、ユーザーがアクセスできる関連アプリケーションを決定します。 たとえば、Windows ユーザー アカウントは、リモート AS/400 サーバーで実行されている DB2 データベースへのアクセスを許可する資格情報でリンクされている場合があります。 ホストによって開始されるシングル サインオンと呼ばれる 2 つ目の方法は、指定されたユーザー ID にアクセスできるリモート アプリケーションと、そのアカウントに対する特権を決定するという逆の動作をします。 たとえば、リモート アプリケーションは、Windows ネットワーク上の管理特権を持つユーザー アカウントへのアクセス権を付与する資格情報でリンクされている可能性があります。
SSO には、さまざまな操作を実行するための管理ツールも含まれていることに注意してください。 SSO データベースで実行されるすべての操作が監査されます。たとえば、管理者がこれらの操作を監視し、さまざまな監査レベルを設定できるようにするツールが用意されています。 その他のツールを使用すると、管理者は特定の関連アプリケーションを無効にしたり、ユーザーの個々のマッピングをオンまたはオフにしたり、他の機能を実行したりできます。 エンド ユーザーが独自の資格情報とマッピングを構成できるようにするクライアント プログラムもあります。
単一 Sign-On の管理要件の 1 つは、ローカル システムがリモート システムにログオンするために必要な資格情報について知っている必要があるということです。 同様に、リモート システムはローカル システムの資格情報を認識している必要があります。 そのため、ローカル コンピューターでパスワードを更新する場合など、資格情報を更新する場合は、リモート システムに通知する必要もあります。 企業間でパスワードを同期する設計のコンポーネントは、 パスワード同期アダプターと呼ばれます。