Partager via


Haute disponibilité appliquée à l'authentification unique de l'entreprise

Même si vous n’utilisez pas la fonctionnalité d’authentification unique d’entreprise (SSO) pour le mappage des informations d’identification et l’authentification unique, l’authentification unique est un élément essentiel de l’infrastructure microsoft BizTalk Server globale, car BizTalk Server utilise l’authentification unique pour sécuriser les informations des emplacements de réception.

Vous devez configurer le premier ordinateur où vous installez le service d'authentification unique en tant que serveur de secret principal. Le serveur de secret principal est le serveur d'authentification unique qui stocke le secret principal (clé de chiffrement). Celui-ci correspond à la clé de chiffrement utilisée par le système d'authentification unique pour chiffrer et déchiffrer les données stockées dans la base de données de l'authentification unique.

Si un serveur d'authentification unique s'arrête et que vous disposez d'autres ordinateurs serveurs BizTalk Server exécutant la même instance d'hôte, donc d'autres serveurs d'authentification unique, ces serveurs supplémentaires continuent de fonctionner normalement. Par conséquent, le serveur de secret principal continue de remplir ses fonctions et les processus BizTalk Server ne sont pas interrompus.

Si le serveur de secret principal s'arrête, toutes les opérations en cours d'exécution au moment de la panne, y compris le déchiffrement des informations d'identification, continuent de s'exécuter correctement. Cependant, vous ne pouvez pas chiffrer les nouvelles informations d'identification. L'environnement BizTalk Server est donc dépendant de la disponibilité du serveur de secret principal, comme l'indique le schéma suivant :

Points de défaillance

Notes

Si le serveur secret master devient indisponible, BizTalk Server instances hôtes peuvent toujours effectuer des opérations d’exécution à l’aide de la copie mise en cache en mémoire du secret master jusqu’à ce que :

  • les instances d'hôte soient redémarrées ;

    • le service de l'authentification unique se trouvant sur l'ordinateur qui exécute les instances d'hôte BizTalk soit redémarré ;
    • le secret principal de l'authentification unique soit modifié.

    Si le service d’authentification unique est redémarré sur les ordinateurs BizTalk Server ou si le secret de l’authentification unique master est modifié, la copie mise en cache du secret master est libérée de la mémoire et le BizTalk Server doit être en mesure de contacter le serveur secret master pour obtenir une autre copie du secret master. Si le serveur de secret principal n'est pas disponible, toute opération administrative qui nécessite l'accès à ce serveur à des fins de chiffrement échoue.

Obtention d'un serveur de secret principal disponible

Pour obtenir la disponibilité d'un système d'authentification unique, donc d'un environnement BizTalk Server, il est indispensable de sauvegarder le secret principal dès qu'il a été généré. Sinon, vous perdez les données que le système d'authentification unique a chiffrées à l'aide de ce secret principal. Pour plus d’informations sur la sauvegarde du secret master, consultez Comment sauvegarder le secret principal.

Vous pouvez rendre le secret principal disponible de deux manières :

  • Disponibilité simple : dans cette configuration, le secret principal est mis en mémoire cache pour tous les serveurs d'authentification unique et les opérations d'exécution fonctionnent normalement, même en cas de défaillance du serveur de secret principal. Cependant, vous ne pouvez plus modifier la configuration des ports ou de l'authentification unique. L'exécution de BizTalk Server ne rencontre pas de problèmes, mais aucune modification de la conception n'est possible.

    Bien que cette configuration ne permette pas une disponibilité élevée, elle est suffisante dans la plupart des scénarios et compatible avec la mise à l'échelle des hôtes de réception, d'envoi et de traitement.

  • Hautement disponible. Pour disposer d'un serveur de secret principal redondant, utilisez le clustering Windows sur un cluster de serveur de secret principal distinct ou configurez le serveur de secret principal sur un cluster de bases de données existant. Lorsqu'ils sont installés sur un cluster de base de données, les services fournis par le serveur de secret principal n'utilisent pas beaucoup de ressources et n'ont généralement pas d'impact sur la fonctionnalité de base de données ou sur les performances. Le schéma suivant illustre la façon dont vous pouvez rendre le serveur de secret principal hautement disponible.

    Serveur secret maître hautement disponible

    Bien que cette configuration permette une disponibilité élevée, elle exige de disposer de ressources matérielles supplémentaires. Pour plus d’informations sur les options d’installation de haute disponibilité pour l’authentification unique, consultez Options d’installation de l’authentification unique à haute disponibilité. Cette section fournit des informations détaillées sur la configuration du serveur de secret principal de l'authentification unique en tant que ressource de cluster à haute disponibilité sur un cluster de serveurs Windows Server.

    Notes

    Afin de réduire les ressources matérielles nécessaires à une solution hautement disponible, vous pouvez ajouter le serveur de secret principal en tant que ressource de cluster sur le cluster SQL Server. Vous n’avez pas besoin d’acheter de licences BizTalk Server supplémentaires pour installer le service d’authentification unique sur un autre ordinateur.

Voir aussi

Mise en cluster des bases de données BizTalk Server
Création d'un environnement BizTalk Server à haute disponibilité
Comment mettre en cluster le serveur secret principal