Single Sign-On 프로그래밍 개요
여러 가지 응용 프로그램을 사용하는 비즈니스 프로세스에는 다양한 보안 도메인을 처리해야 하는 문제가 있을 수 있습니다. Microsoft Windows 운영 체제의 응용 프로그램에 액세스할 때 필요한 보안 자격 증명 집합과 IBM 메인프레임의 응용 프로그램에 액세스할 때 필요한 자격 증명이 다를 수 있습니다. 사용자는 이렇게 다양한 자격 증명을 처리하는 작업을 어렵게 생각할 수 있으며 이런 작업이 프로세스 자동화에 보다 큰 문제가 될 수 있습니다. 이 문제를 해결하기 위해 BizTalk Server Enterprise SSO(단일 Sign-On)를 포함합니다. SSO를 사용하면 Windows 사용자 ID를 비 Windows 사용자 자격 증명에 매핑할 수 있습니다. 이 서비스를 통해 다양한 시스템에서 응용 프로그램을 사용하는 비즈니스 프로세스를 간소화할 수 있습니다.
SSO를 사용하려면 관리자가 비 Windows 시스템이나 응용 프로그램을 나타내는 관련 응용 프로그램을 정의해야 합니다. 관련 응용 프로그램은 IBM 메인프레임에서 실행되는 CICS(Customer Information Control System) 응용 프로그램, Unix에서 실행되는 SAP ERP 시스템 또는 기타 모든 종류의 소프트웨어가 될 수 있습니다. 각 애플리케이션에는 고유한 인증 메커니즘이 있으므로 고유한 자격 증명도 있어야 합니다.
SSO는 사용자의 Windows 사용자 ID와 여러 관련 응용 프로그램에 대한 관련된 자격 증명 간의 암호화된 매핑을 저장합니다. 이렇게 연결된 쌍은 SSO 데이터베이스에 저장됩니다. SSO는 두 가지 방법으로 SSO 데이터베이스를 사용합니다. Windows 시작 Single Sign-On이라는 첫 번째 방법은 사용자 ID를 사용하여 사용자가 액세스할 수 있는 관련 애플리케이션을 결정합니다. 예를 들어 Windows 사용자 계정은 원격 IBM i 서버에서 실행되는 DB2 데이터베이스에 대한 액세스 권한을 부여하는 자격 증명과 연결될 수 있습니다. 호스트 시작 Single Sign-On이라고 하는 두 번째 방법은 지정된 사용자 ID에 액세스할 수 있는 원격 애플리케이션 및 해당 계정으로 이동하는 권한을 결정하는 역방향으로 작동합니다. 예를 들어 원격 응용 프로그램이 Windows 네트워크에서 관리 권한이 있는 사용자 계정에 액세스 권한을 부여하는 자격 증명에 연결될 수 있습니다.
또한 SSO에는 다양한 작업을 수행할 수 있는 관리 도구가 포함되어 있습니다. SSO 데이터베이스에서 수행되는 모든 작업을 감사합니다. 예를 들어 관리자가 이러한 작업을 모니터링하고 다양한 감사 수준을 설정할 수 있는 도구가 제공됩니다. 다른 도구를 사용하면 관리자가 특정 관련 응용 프로그램을 사용하지 않도록 설정하고, 사용자에 대한 개별 매핑을 설정하거나 해제하고, 다른 기능을 수행할 수 있습니다. 최종 사용자가 직접 자격 증명 및 매핑을 구성할 수 있는 클라이언트 프로그램도 있습니다.
Single Sign-On의 관리 요구 사항 중 하나는 원격 시스템에 로그온하는 데 필요한 자격 증명을 로컬 시스템에서 인식할 수 있어야 한다는 것입니다. 마찬가지로 원격 시스템도 로컬 시스템에 대한 자격 증명을 인식할 수 있어야 합니다. 따라서 로컬 컴퓨터에서 암호를 업데이트할 때처럼 자격 증명을 업데이트하면 원격 시스템에도 자격 증명 업데이트 사실을 알려야 합니다. 엔터프라이즈 간에 암호를 동기화하는 구성 요소를 암호 동기화 어댑터라고 합니다.