WCF-OracleDBアダプタを使用して送信ポートに直接ルーティングする、受信側の独立したホストで実行されている従来のHTTPアダプタを使用するBizTalkメッセージング専用交換があります。送信ポートは、SSOから資格情報を取得するように構成されています。 HTTPアダプタはSSOを使用するように構成され、分離されたホストユーザーのコンテキストでSSOチケットを発行します。BizTalk SSOチケットエラー "チケットの検証に失敗しました。送信者名はチケット発行者の名前と一致する必要があります。"
送信ポートが作動すると、それがイベントログに次のメッセージをログに記録して停止します。
Validation of the ticket failed. The sender name must match that of the ticket issuer.
Application Name: (affiliate application name)
Ticket Issued By: (in-process account name)
Sender Name: (isolated host account name)
アフィリエイト構成は、私が見つけることができるすべてのマニュアルに従って正しいです:
- 両方アカウントは、アフィリエイトのアプリケーションユーザープロパティとして指定されたドメイングループ内にあります。
- 両方のアカウントには、必要な外部資格情報のアフィリエイトにマッピングがあります。私はユーザーベースのアフィリエイトを試みました。これは、同じ外部資格情報への複数のマッピングを許可しません。両方のアカウントを一度に1つのホスト資格情報とし、グループベースのアフィリエイト、両方のアカウントをマッピングします同じ外部資格情報に同時にhttps://msdn.microsoft.com/en-us/library/bb899011.aspx
私はこれを行っている、違いはありません:
私は、SSOチケットを使用するためには、ホストが信頼されなければならないことを示唆して、このドキュメントを、発見しました。
また、このアフィリエイトのSSO管理コンソールで「チケットの確認」オプションのチェックを外しましたが、これも違いはありません。
これを行うには何が必要ですか?
これはぎこちない締め具合の要件です。受信場所では、送信トランスポートについて何も知る必要はありません。受信ホストを実行している別のアカウントがある場合、SSOを使用する送信ポートの場合はSSOアクセス許可を必要とする送信ホストを実行しているアカウントであってはなりません。無関係の受信ホストではありませんか?これは、OriginatorSIDプロパティの目的ではありませんか?それを上書きすると、私の意図がSSOシステムに伝わらないはずです。また、受信アダプターがSSOチケットをサポートしていない場合はどうなりますか?あなたは何をしなければならないのですか?ご回答有難うございます。 –
@TomW実際には、意図したものとは別の方法でSSOを使用しているため(発信者からの資格情報を渡し、オプションで別の資格情報セットにマップするため)。はい、サポートしていないさまざまなアダプタがあります。https://stackoverflow.com/questions/37155838/how-can-i-set-sb-messaging-adapter-credentials-securely/37174322#37174322またはhttps:/ /cdijkgraaf.wordpress。com/2016/08/30/biztalk-sso-sso-affiliate-settings /ただし、この状況では、受信パイプラインにSSOチケットを追加することができます。 – Dijkgraaf
あなたのアドバイスによれば、私は今、HTTP受信場所にチケットを発行させ、それはうまく利用されます。ここまでは順調ですね。ただし、他の場所はインプロセスアカウントで実行されるため、同じ外部資格情報に対して複数のユーザーマッピングを作成することはできません。グループアフィリエイトを作成することはできますが(ユーザーアフィリエイトではありません)、独立したホストアカウントとインプロセスホストアカウントはグループを共有していません。確かに**ただの仕事**のための方法がなければなりません。私はこれを知っている。 –