Prise en charge de l’authentification unique pour l’adaptateur SOAP

Vous pouvez utiliser la console Administration BizTalk Server pour configurer enterprise single Sign-On (SSO) pour une utilisation avec l’emplacement de réception SOAP ou le port d’envoi. Cette rubrique décrit le fonctionnement de SSO avec l'adaptateur SOAP.

Prise en charge de l'authentification unique pour les emplacements de réception SOAP

Les emplacements de réception SOAP prennent en charge deux versions de l’authentification unique : BizTalk Server Enterprise l’authentification unique et l’authentification unique Microsoft SharePoint Portal Server. Exécutez l'Assistant Publication de services Web BizTalk pour activer le support de SharePoint Portal Server SSO. Pour plus d’informations sur l’activation de l’authentification unique SharePoint Portal Server, consultez Publication des services web. Activez l'utilisation de l'authentification unique de l'entreprise à l'aide des pages de propriétés de l'emplacement de réception SOAP. Pour plus d’informations sur l’activation de l’authentification unique d’entreprise pour l’emplacement de réception SOAP, consultez Configuration d’un emplacement de réception SOAP.

Prise en charge de l'authentification unique de l'entreprise pour les emplacements de réception SOAP

Les services Internet (IIS) reçoivent une demande SOAP d'un client Web, IIS authentifie l'utilisateur et transmet l'ID de sécurité à l'adaptateur SOAP. Si la méthode d'authentification IIS est Authentification Digest, Authentification de base ou Authentification Windows intégrée, l'adaptateur SOAP contacte le magasin d'informations d'identification SSO pour obtenir un ticket chiffré basé sur l'utilisateur authentifié. Ce ticket est stocké en tant que propriété SSOTicket dans la propriété de contexte du message.

Dans le scénario de transfert, le moteur de messagerie BizTalk dirige le message vers la base de données MessageBox. Lorsqu'un adaptateur d'envoi reçoit le message de la base de données MessageBox, il appelle la méthode RedeemTicket avec le ticket chiffré, conjointement avec le nom de l'application, pour récupérer les informations de sécurité de l'application du magasin SSO. L'adaptateur d'envoi utilise alors les informations d'identification externes pour se connecter à l'application et traiter la demande. Pour plus d’informations sur les applications affiliées, consultez Applications affiliées de l’authentification unique.

Dans les cas où une orchestration appelle l'adaptateur d'envoi, le moteur de messagerie BizTalk envoie le message à la base de données MessageBox. L’orchestration doit s’assurer que la propriété de contexte SSOTicket et la propriété de contexte Microsoft.BizTalk.XLANGs.BTXEngine.OriginatorSID du message qui contient le ticket sont conservées. Lorsque l'adaptateur reçoit ce message de la base de données MessageBox, il appelle la méthode RedeemTicket avec le ticket chiffré pour extraire les informations d'identification principales du magasin SSO. L'utilisateur concevant l'orchestration doit copier spécifiquement cette propriété dans le message.

Prise en charge de l'authentification unique dans SharePoint Portal Server pour les emplacements de réception SOAP.

Lors de l’intégration à SharePoint Portal Server, BizTalk Server prend en charge l’utilisation de l’authentification unique Microsoft SharePoint Portal Server uniquement via l’adaptateur SOAP. SharePoint Portal Server crée des tickets SSO qu'il envoie à BizTalk Server dans un en-tête SOAP de la demande SOAP. Lorsque l’adaptateur SOAP reçoit une requête contenant un ticket d’authentification unique, le ticket est stocké en tant que propriété SSOTicket dans la propriété de contexte du message. La même propriété contient un ticket d'authentification unique de l'entreprise. Un seul ticket d'authentification unique de l'entreprise peut être associé à un message BizTalk.

Dans les scénarios de transfert et d'orchestration, la gestion d'un ticket d'authentification unique émis par SharePoint Portal Server est identique à celui qui aurait été créé par l'adaptateur SOAP à l'aide de l'authentification unique de l'entreprise. Lorsqu’un adaptateur d’envoi reçoit un message, il appelle la méthode RedeemTicket avec le ticket chiffré qui SharePoint Portal Server généré. L'adaptateur d'envoi n'a pas besoin de savoir que différents tickets d'authentification unique de l'entreprise existent. La méthode RedeemTicket détermine quel système d’authentification unique a généré le ticket et l’échanger à partir de l’emplacement approprié.

Utilisation combinée de l'authentification unique de l'entreprise et de l'authentification unique dans SharePoint Portal Server

BizTalk Server prend en charge l’utilisation simultanée des deux systèmes d’authentification unique. L'API peut distinguer les tickets générés par chaque authentification unique et les échanger depuis la base de données de l'authentification. Si vous utilisez les deux systèmes d’authentification unique en même temps, les règles suivantes déterminent le ticket d’authentification unique que l’emplacement de réception SOAP promeut en propriété de contexte SSOTicket :

• Si aucune authentification unique n'est activée, ne promouvez pas de ticket.

• Si l'authentification unique de l'entreprise est activée, mais l'authentification unique SharePoint Portal Server ne l'est pas, récupérez et promouvez le ticket d'authentification unique de l'entreprise.

• Si l'authentification unique SharePoint Portal Server est activée, mais l'authentification unique de l'entreprise ne l'est pas, promouvez le ticket d'authentification unique SharePoint Portal Server existant.

• Si les authentifications uniques de l'entreprise et SharePoint Portal Server sont activées :

  • Si le ticket d'authentification SharePoint Portal Server est reçu, promouvez ce ticket.

  • Si le ticket d'authentification unique SharePoint Portal Server n'a pas été reçu, récupérez et promouvez le ticket d'authentification unique de l'entreprise.

  Prise en charge de l'authentification unique pour l'adaptateur d'envoi SOAP

  Si l’authentification unique est activée, lorsqu’un port d’envoi SOAP reçoit un message avec la propriété Secure (SSOTicket), il appelle le serveur d’authentification unique pour valider et échanger le ticket pour une application affiliée. L'application d'administration, les administrateurs d'applications associées ou les administrateurs SSO de l'application associée peuvent appeler SSO pour échanger un ticket. SSO déchiffre alors le ticket et obtient les informations d'identification principales. Les scénarios de transmission et d’orchestration sont les mêmes pour le port d’envoi SOAP, comme décrit dans la section « Prise en charge de l’authentification unique d’entreprise pour les emplacements de réception SOAP » de la rubrique Prise en charge de l'Sign-On unique pour l’adaptateur SOAP.

  Par défaut, le port d'envoi SOAP n'active pas l'authentification unique. Pour plus d’informations sur l’activation de l’authentification unique pour le port d’envoi SOAP, consultez Guide pratique pour configurer un port d’envoi SOAP.