Haute disponibilité pour le serveur de secret principal

Même si vous n’utilisez pas la fonctionnalité d'Sign-On unique d’entreprise (SSO) pour le mappage des informations d’identification et l’authentification unique, l’authentification unique est un élément essentiel de l’infrastructure Microsoft BizTalk Server globale, car BizTalk Server utilise l’authentification unique pour sécuriser les informations de configuration du port. Les données de configuration du port sont chiffrées et stockées dans la base de données SSO. Chaque serveur BizTalk dispose d’un service d’authentification unique (ENTSSO.exe) qui est utilisé pour chiffrer et déchiffrer les données de configuration du port.

Lorsqu’un service d’authentification unique démarre, il récupère la clé de chiffrement à partir du serveur secret master. Cette clé de chiffrement est appelée secret master. Le serveur secret master est un autre service d’authentification unique qui a un sous-service supplémentaire qui gère et distribue le secret master. Une fois qu’un secret master est récupéré, le service SSO le met en cache. Toutes les 60 secondes, le service d’authentification unique synchronise le secret master avec le serveur secret master.

Si le serveur secret master échoue et que le service d’authentification unique détecte l’échec dans l’un de ses intervalles d’actualisation, le service d’authentification unique et toutes les opérations d’exécution qui s’exécutaient avant l’échec du serveur, y compris le déchiffrement des informations d’identification, continuent avec succès. Toutefois, vous ne pouvez pas chiffrer les nouvelles informations d’identification ou les données de configuration de port. Par conséquent, l’environnement BizTalk Server dépend de la disponibilité du serveur secret master.

Obtention d'un serveur de secret principal disponible

Pour obtenir la disponibilité d'un système d'authentification unique, donc d'un environnement BizTalk Server, il est indispensable de sauvegarder le secret principal dès qu'il a été généré. Sinon, vous perdez les données que le système d'authentification unique a chiffrées à l'aide de ce secret principal. Pour plus d’informations sur la sauvegarde du secret master, consultez Comment sauvegarder le secret principal (https://go.microsoft.com/fwlink/?LinkID=151934) dans BizTalk Server aide.

Vous pouvez rendre le secret principal disponible de deux manières :

  • Disponible, mais pas hautement disponible. Vous pouvez créer un événement Microsoft System Center Operations Manager pour vous avertir lorsque le serveur secret master devient indisponible, puis vous pouvez promouvoir manuellement un autre serveur d’authentification unique pour master serveur secret et restaurer le master secret sur ce serveur.

    Bien que cette configuration ne soit pas hautement disponible, elle peut être satisfaisante pour la plupart des scénarios et elle est cohérente avec la montée en puissance des hôtes de réception, d’envoi et de traitement.

  • Hautement disponible. Pour disposer d'un serveur de secret principal redondant, utilisez le clustering Windows sur un cluster de serveur de secret principal distinct ou configurez le serveur de secret principal sur un cluster de bases de données existant. Lorsqu'ils sont installés sur un cluster de base de données, les services fournis par le serveur de secret principal n'utilisent pas beaucoup de ressources et n'ont généralement pas d'impact sur la fonctionnalité de base de données ou sur les performances. Le schéma suivant illustre la façon dont vous pouvez rendre le serveur de secret principal hautement disponible.

    Serveur secret maître hautement disponible

    Bien que cette configuration permette une disponibilité élevée, elle exige de disposer de ressources matérielles supplémentaires. Pour plus d’informations sur les options d’installation de haute disponibilité pour l’authentification unique, consultez Options d’installation de l’authentification unique à haute disponibilité (https://go.microsoft.com/fwlink/?LinkId=156838) dans BizTalk Server aide.

    Cette section fournit des informations détaillées sur la configuration du serveur de secret principal de l'authentification unique en tant que ressource de cluster à haute disponibilité sur un cluster de serveurs Windows Server.

    Notes

    Afin de réduire les ressources matérielles nécessaires à une solution hautement disponible, vous pouvez ajouter le serveur de secret principal en tant que ressource de cluster sur le cluster SQL Server. Notez que vous n’avez pas besoin d’acheter de licences BizTalk Server supplémentaires pour installer le service d’authentification unique sur l’ordinateur exécutant le SQL Server.

Dans cette section

Voir aussi

Planification de la haute disponibilité2haute disponibilité pour les hôtes BizTalkhaute disponibilité pour les bases de données