Несколько предварительных слов. SSO может использоваться в 2-х целях : как непосредственно Single Sign-On и как Configuration Store. Если вы работаете без ActiveDirectory, то первая возможность вам недоступна, т.е. вы можете только определить affiliated applications для local accounts (указав для них в конфигурации соответственно groupApp="no"), mappings для local accounts не поддерживается. Почему? Потому что SSO разрабатывался, как расширение ActiveDirectory. Поклонники Novell и проч. придумают альтернативные решения, даже с WinLogo :) . Для BizTalk же ActiveDirectory не обязательна, он не использует group and individual mappings - с его точки зрения, SSO это исключительно Configuration Store для конфигурации адаптеров. Для каждого адаптера BiztTalk создает 4 affiliated applications - receive handler configuration, receive location configuration, send handler configuration and send port configuration.
Теперь, если все-таки вернуться к Single Sign-On, я бы хотел отметить его сценарий (для CCF hosted) :
1). Создаем affiliated application - ssomanage -createapps 'xml file name'
2). Создаем mapping - ssomanage -createmapping 'xml file name'. Не запутаться - в файле созданная affiliated application почему-то называется 'external application', но это именно affiliated!
MS рекомендует использовать только domain accounts и group mappings. Прислушаемся к совету к закончим на этом администрирование.
3). В коде (CCF hosted) осталось вызвать ISSOLookup1.GetCredentials()!
Вот и весь сценарий. Осталось только заметить, что для affiliated application всегда можно сделать multiple mappings - на столько accounts or groups, на сколько потребуется.
Не могу в заключении не отметить одну очень полезную статью об SSO (published in December, 2004).