SSO-Tickets

  • Artikel

In einer Unternehmensumgebung, in der ein Benutzer mit verschiedenen Systemen und Anwendungen interagiert, ist es sehr wahrscheinlich, dass die Umgebung den Benutzerkontext nicht über mehrere Prozesse, Produkte und Computer verwaltet. Dieser Benutzerkontext ist äußerst wichtig für die Bereitstellung von SSO-Funktionen, da überprüft werden muss, von wem die ursprüngliche Anforderung initiiert wurde. Zur Lösung dieses Problems stellt Einmaliges Anmelden für Unternehmen (SSO) ein SSO-Ticket (kein Kerberos-Ticket) zur Verfügung, mit dem Anwendungen die Anmeldeinformationen des Benutzers feststellen können, von dem die ursprüngliche Anforderung stammt. SSO-Tickets sind standardmäßig nicht aktiviert. Weitere Informationen zum Aktivieren von Tickets finden Sie unter Konfigurieren der SSO-Tickets.

Das SSO-System stellt ein Ticket aus, wenn dies von einem authentifizierten Windows-Benutzer angefordert wird. Das SSO-System kann ein Ticket für den Benutzer ausstellen, der die Anforderung stellt, oder für einen Remotebenutzer. Ein Ticket enthält die verschlüsselte Domäne und den verschlüsselten Benutzernamen des aktuellen Benutzers sowie die Ticketablaufzeit. Nachdem das SSO-System ein Ticket ausgestellt hat, läuft dieses standardmäßig nach zwei Minuten ab. Die Ablaufzeit für Tickets kann von SSO-Administratoren geändert werden. Der SSO-Administrator kann auch den Tickettimeout auf Ebene der Partneranwendung festlegen. Weitere Informationen finden Sie unter Konfigurieren der SSO-Tickets.

Nachdem die Identität des ursprünglichen Benutzers überprüft wurde, der die Anforderung gestellt hat, kann die Anwendung das Ticket einlösen, um die Anmeldeinformationen des Benutzers zu erhalten, der die Anforderungspartneranwendung initiiert hat. Es gibt zwei Möglichkeiten, wie eine Anwendung Tickets aus dem SSO-System einlösen kann:

  • Nur einlösen. Wenn eine Anwendung eine Anforderung zum Einlösen eines Tickets initiiert, muss die Anforderung den Namen der Partneranwendung enthalten, zu der eine Verbindung hergestellt werden soll, sowie das Ticket selbst. Nur Anwendungsadministratoren für die bestimmte Partneranwendung, SSO-Partneradministratoren oder SSO-Administratoren können ein Ticket einlösen. Sie sollten Einlösen nur verwenden, wenn zwischen der Anwendung, die das Ticket ausgestellt hat, und der Anwendung, die das Ticket einlöst, ein vertrauenswürdiges Untersystem vorhanden ist. Nur Anwendungsadministratoren für die angegebene Partneranwendung können das Ticket für einen Benutzer einlösen.

  • Überprüfen und einlösen. Tickets enthalten Informationen über den Benutzer, für den das SSO-System die Anmeldeinformationssuche ausführt. In diesem Fall überprüft der SSO-Dienst, ob der Absender der ursprünglichen Nachricht und der Benutzer des Tickets identisch sind, bevor das System das Ticket einlöst. Microsoft BizTalk Server-Adapterszenarios nutzen diesen Mechanismus.

    Ein SSO-Administrator kann Tickettimeouts auf Partneranwendungsbasis deaktivieren. Obwohl dies in früheren Versionen nicht empfohlen wurde, unterstützt diese Version die Verwendung von Tickettimeouts pro Partneranwendung. Diese Option gestattet es Ihnen, die Tickettimeouts auf Ebene der Partneranwendung festzulegen. Wenn dies nicht angegeben ist, wird das auf globaler Ebene angegebene Tickettimeout verwendet.

    Ein SSO-Partneradministrator kann angeben, dass Tickets zulässig sind und die Überprüfung von Tickets auf Partneranwendungsbasis erforderlich ist. Wenn der SSO-Administrator jedoch auf der SSO-Systemebene angibt, dass die Überprüfung von Tickets erforderlich ist, dann kann der SSO-Partneradministrator diese Option nicht auf Partneranwendungsebene deaktivieren.

Wichtig

Wenn Sie das SSO-Ticketsystem verwenden, müssen Sie sicherstellen, dass der Tickettimeoutwert groß genug ist, um zwischen Ausstellen und Einlösen des Tickets bestehen zu können.

Weitere Informationen

Verwalten von Zuordnungen