SSO-Partneranwendungen
Die Partneranwendungen für Enterprise Single Sign-On (SSO) sind logische Entitäten, die ein System oder Untersystem darstellen, z. B. einen Host, ein Back-End-System oder eine Branchenanwendung, mit der Sie eine Verbindung mit einmaligem Anmelden herstellen. Eine Partneranwendung kann ein Back-End-System (wie einen Großrechner oder UNIX-Computer) darstellen. Sie kann auch für eine Anwendung wie SAP stehen oder für eine Untereinheit des Systems, wie es bei den Subsystemen „Benefits“ oder „Pay Stub“ der Fall ist.
Wenn der SSO-Administrator oder SSO-Partneradministrator eine Partneranwendung einrichtet, müssen der Administrator der Partneranwendung, ihre Benutzer und die Parameter bestimmt werden, die das SSO-System zum Authentifizieren der Benutzer dieser Partneranwendung verwenden soll (Benutzer-ID, Kennwörter, PIN-Nummern usw.). Weitere Informationen zu Anwendungsadministratoren und Anwendungsbenutzern finden Sie unter SSO-Benutzergruppen.
Partneranwendungstypen
Für Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On, SSO) sind verschiedene Anwendungstypen definiert. Die unterschiedlichen Anwendungstypen unterstützen verschiedene Arten der Zuordnung zwischen dem Windows-Konto und dem Konto auf dem Nicht-Windows-System.
Es gibt folgende Anwendungstypen:
Individuum Einzelne Anwendungen unterstützen 1:1-Zuordnungen zwischen dem Windows-Konto und dem Nicht-Windows-Konto. In einer Einzelanwendung wird ein Windows-Konto nur einem Nicht-Windows-Konto zugeordnet. Die Zuordnung kann in beide Richtungen erfolgen, von Windows zu Nicht-Windows und/oder umgekehrt, je nachdem, welche Kennzeichen für die Anwendung gesetzt wurden. Daher können Einzelanwendungen für von Windows initiiertes SSO und/oder vom Host initiiertes SSO verwendet werden.
Gruppe Gruppenanwendungen unterstützen Zuordnungen zwischen einer Windows-Gruppe zu einem einzelnen Nicht-Windows-Konto. Die Windows-Gruppe, die für diese Anwendung vom Typ Gruppe verwendet wird, wird mithilfe des Kontos Anwendungsbenutzer definiert. Für eine Anwendung vom Typ Gruppe kann nur eine Zuordnung definiert werden. Diese Zuordnung muss zwischen der Windows-Gruppe und dem einzelnen Nicht-Windows-Konto erfolgen, das von allen Mitgliedern dieser Windows-Gruppe für den Zugriff auf das Nicht-Windows-System verwendet wird. Anwendungen vom Typ Gruppe können nur für von Windows initiiertes SSO verwendet werden.
Hostgruppe Hostgruppenanwendungen sind konzeptionell die Umgekehrtkeit von Gruppenanwendungen. Sie unterstützen Zuordnungen zwischen einer definierten Gruppe von Nicht-Windows-Konten und einem einzelnen Windows-Konto. Das einzelne Windows-Konto, das von den Nicht-Windows-Konten verwendet wird, wird durch das Konto "Anwendungsbenutzer" der Anwendung definiert. Die Gruppe der Nicht-Windows-Konten, die auf die Anwendung zugreifen darf, wird durch Erstellen einer Zuordnung für jedes Nicht-Windows-Konto definiert. Hostgruppenanwendungen können nur für vom Host initiiertes SSO verwendet werden.
Entwerfen einer Partneranwendung
Vor dem Erstellen einer Partneranwendung muss der SSO-Partneradministrator oder SSO-Administrator die folgenden Entscheidungen treffen:
Wen oder was soll diese Partneranwendung repräsentieren? Sie müssen die Nicht-Windows-Anwendung kennen, die die Partneranwendung im SSO-System darstellt. Beispiel:
Anwendungsname: APP1
Beschreibung: Anwendung für die Stubabteilung "Pay"
Kontakt: administrator@companyname.com
Wer soll diese Partneranwendung verwalten? Sie müssen die Administratoren für diese Partneranwendung ermitteln. Diese bilden die Windows-Administratorengruppe für diese Partneranwendung. Beispiel: Domäne\APP1-AdminGruppe
Wer soll diese Partneranwendung nutzen? Sie müssen die Endbenutzer dieser Partneranwendung bestimmen. Diese Benutzer stellen die Gruppe der Windows-Benutzer dieser Partneranwendung dar, z. B. Domäne\Domänenbenutzer. Bei der Anwendung für „Lohnbuchhaltung“ möchten Sie ggf., dass alle Benutzer auf ihre Lohnbuchhaltungsinformationen zugreifen können sollen, weshalb Sie die Gruppe der Domänenbenutzer als Benutzergruppe für diese Anwendung angeben können.
Anhand welcher Anmeldeinformationen authentifiziert die Partneranwendung ihre Benutzer? In verschiedenen Anwendungen werden unterschiedliche Anmeldeinformationen für die Authentifizierung von Benutzern verwendet. In einigen Anwendungen erfolgt die Authentifizierung ggf. über Benutzer-IDs-, Kennwörter, PINs oder eine Kombination dieser Elemente. Sie müssen außerdem angeben, ob das System diese Anmeldeinformationen bei der Eingabe durch den Benutzer maskieren soll.
Arbeiten Sie bei dieser Partneranwendung mit 1:1-Zuordnungen oder einer Gruppenzuordnung? Hat jeder Windows-Benutzer ein Konto im Back-End-System, oder verfügt das Back-End-System über ein Konto für alle Windows-Benutzer? Beim Lohnbuchhaltungssystem hat jeder Benutzer ein eigenes Konto für den Zugriff auf seine Lohnbuchhaltungsinformationen, weshalb Sie mit 1:1-Zuordnungen arbeiten müssen.
Nach dem Erstellen einer Partneranwendung können die folgende Eigenschaften nicht geändert werden:
Name der Partneranwendung
Felder, die der Partneranwendung zugeordnet sind.
Der Partneranwendungstyp (Hostgruppe, Einzeln oder Konfigurationsspeicher)
Das Verwaltungskonto ist mit der Gruppe Partneradministratoren identisch. (Wenn Sie diese Eigenschaft auswählen, wird das Konto der Gruppe Partneradministratoren als Anwendungsadministratorenkonto für diese Partneranwendung verwendet.)
Eigenschaften von Partneranwendungen
Die folgende Tabelle enthält die Eigenschaften, die Sie für jede erstellte Partneranwendung festlegen müssen.
| Eigenschaft | BESCHREIBUNG |
|---|---|
| Anwendungsname | Der Name der Partneranwendung. Sie können diese Eigenschaft nicht ändern, nachdem Sie die Partneranwendung erstellt haben. |
| BESCHREIBUNG | Kurze Beschreibung der Partneranwendung |
| Contact | Der Hauptkontakt für die Partneranwendung, den Benutzer verwenden können. (Dies kann eine Mail-Adresse sein.) |
| appUserAccount | Die Windows-Gruppe mit den Benutzerkonten der Endbenutzer, die diese Partneranwendung verwenden sollen. |
| appAdminAccount | Die Windows-Gruppe mit den Administratorkonten, die diese Partneranwendung verwalten sollen. Hinweis: Sie müssen diese Eigenschaft nicht definieren, wenn Sie adminAccountSame auf Ja festlegen. |
| Anwendungskennzeichen | BESCHREIBUNG |
|---|---|
| enableApp | Der Status dieser Partneranwendung. |
| groupApp | Bestimmt, ob diese Anwendung mit einer Gruppenzuordnung (yes) oder 1:1-Zuordnungen (no) arbeitet. Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden. |
| configStoreApp | Bestimmt, ob diese Partneranwendung den Typ Konfigurationsspeicher hat (yes). Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden. |
| hostInitiatedSSO | Wählen Sie diese Option aus, wenn es sich um eine vom Host initiierte SSO-Anwendung handelt. Die Standardeinstellung ist Nein. |
| windowsInitiatedSSO | Wählen Sie diese Option aus, wenn es sich um eine von Windows initiierte SSO-Anwendung handelt. Die Standardeinstellung ist „Ja“. |
| validatePassword | Diese Eigenschaft gilt nur für vom Host initiierte SSO-Anwendungen. Wenn die Anwendung versucht, Anmeldeinformationen abzurufen, muss sie das Kennwort in der SSO-Datenbank bereitstellen, die für die Überprüfung durch die SSO-Dienste verwendet wird. Die Standardeinstellung ist „Ja“. |
| disableCredCache | Der SSO-Server speichert Anmeldeinformationen in einem Cache, um den Zugriff zu beschleunigen. Die Standardeinstellung ist Nein. |
| allowTickets | Legt fest, ob das SSO-System für diese Partneranwendung Tickets verwendet. Sicherheit Sie müssen SSO-Administrator sein, um dieses Flag festzulegen. |
| validateTickets | Legt fest, ob das SSO-System Tickets überprüft, wenn sie vom Benutzer eingelöst werden. Sicherheit Sie müssen SSO-Administrator sein, um dieses Flag festzulegen. |
| appTicketTimeOut | Gibt ein spezifisches Tickettimeout für die Partneranwendung an. Dies kann nur beim Aktualisieren einer Partneranwendung festgelegt werden, nicht jedoch beim Erstellen. Wenn das Ticketing für diese Anwendung aktiviert ist und diese Eigenschaft nicht, wird das auf der Ebene des SSO-Systems (Global) angegebene Timeout verwendet. Sicherheit Sie müssen SSO-Administrator sein, um dieses Flag festlegen zu können. |
| timeoutTickets | Legt fest, ob für Tickets ein Timeout gilt. Die Standardeinstellung ist „Ja“. Sicherheit Wenn dies nicht erforderlich ist, deaktivieren Sie keine Tickettimeouts (Nein). Sicherheit Sie müssen SSO-Administrator sein, um dieses Flag festlegen zu können. |
| allowLocalAccounts | Legt fest, ob Sie die Verwendung lokaler Gruppen und Konten im SSO-System erlauben. Sie können dieses Kennzeichen jedoch nur in Szenarien mit einem einzelnen Computer auf Yes festlegen. |
| adminAccountSame | Bestimmt, ob die Gruppe der SSO-Partneradministratoren als Gruppe der Anwendungsadministratoren verwendet werden soll. Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden. Sicherheit Sie müssen ein SSO-Administrator oder SSO-Partneradministrator sein, um dieses Flag festlegen zu können. |
| Anwendungsfelder | BESCHREIBUNG | BESCHREIBUNG |
|---|---|---|
| Feld [0] | <Anmeldeinformationen>: Maskiert/Entmasken | Bestimmt den Typ der Anmeldeinformationen (Benutzer-ID, Kennwort, Smartcard), die Endbenutzer für die Verbindung mit der Partneranwendung angeben müssen, und ob diese Anmeldeinformationen maskiert werden oder nicht (d. h. ob die vom Benutzer auf dem Bildschirm eingegebenen Zeichen angezeigt werden). Sie können so viele Felder eingeben, wie es Anmeldeinformationen für die Partneranwendung gibt. Das erste Feld muss jedoch die Benutzer-ID sein. Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden. |
Weitere Informationen
Verwalten von Partneranwendungen
SSO-Zuordnungen
Verwalten von Zuordnungen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für