依赖于多个不同应用程序的业务流程可能面临处理多个不同安全域的挑战。 在 Microsoft Windows作系统上访问应用程序可能需要一组安全凭据,而访问 IBM 大型机上的应用程序可能需要不同的凭据。 处理这些凭据对于用户来说很难,并且它可能会对自动化过程带来更大的挑战。 为了解决此问题,BizTalk Server 包括企业单一 Sign-On (SSO)。 SSO 允许将 Windows 用户 ID 映射到非 Windows 用户凭据。 此服务可以简化在各种系统上使用应用程序的业务流程。
若要使用 SSO,管理员定义关联的应用程序,每个应用程序表示非 Windows 系统或应用程序。 关联应用程序可能是在 IBM 大型机上运行的客户信息控制系统(CICS)应用程序、在 UNIX 上运行的 SAP ERP 系统或任何其他软件。 其中每个应用程序都有自己的身份验证机制,因此每个应用程序都需要自己的唯一凭据。
SSO 在用户的 Windows 用户 ID 与一个或多个关联应用程序的关联凭据之间存储加密映射。 这些关联对存储在 SSO 数据库中。 SSO 以两种方式使用 SSO 数据库。 第一种方法称为 Windows 发起的单一登录使用用户 ID 来确定用户有权访问的关联应用程序。 例如,Windows 用户帐户可能链接到授予对远程 AS/400 服务器上运行的 DB2 数据库的访问权限的凭据。 第二种方式称为 主机发起的单一登录,反向作:确定哪些远程应用程序有权访问指定的用户 ID,以及使用该帐户的特权。 例如,远程应用程序可能与能够访问 Windows 网络上拥有管理权限的用户帐户的凭据相关联。
请注意,SSO 还包括用于执行各种作的管理工具。 所有针对 SSO 数据库执行的操作都会被审计;例如,提供了一些工具使管理员能够监视这些操作并设置不同的审计级别。 其他工具使管理员能够禁用特定关联应用程序、为用户打开和关闭单个映射,以及执行其他功能。 还有一个客户端程序,使最终用户能够配置自己的凭据和映射。
单个 Sign-On 的管理要求之一是,本地系统需要了解登录到远程系统所需的登录凭证。 同样,远程系统必须知道本地系统上的凭据。 因此,更新凭据时(例如在本地计算机上更新密码时),还必须通知远程系统你已这样做。 设计用于跨企业同步密码的组件称为 密码同步适配器。