Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In einer Unternehmensumgebung, in der ein Benutzer mit verschiedenen Systemen und Anwendungen interagiert, ist es sehr wahrscheinlich, dass die Umgebung den Benutzerkontext nicht über mehrere Prozesse, Produkte und Computer verwaltet. Dieser Benutzerkontext ist entscheidend für die Bereitstellung von Single Sign-On-Funktionen, da es erforderlich ist, zu überprüfen, wer die ursprüngliche Anforderung initiiert hat. Um dieses Problem zu umgehen, stellt Enterprise Single Sign-On (SSO) ein SSO-Ticket (kein Kerberos-Ticket) bereit, mit dem Anwendungen die Anmeldeinformationen abrufen können, die dem Benutzer entsprechen, der die ursprüngliche Anforderung gestellt hat. SSO-Tickets sind standardmäßig nicht aktiviert. Weitere Informationen zum Aktivieren von Tickets finden Sie unter How to Configure the Enterprise Single Sign-On Tickets.
Das SSO-System gibt ein Ticket aus, wenn es von einem authentifizierten Windows-Benutzer angefordert wird. Das SSO-System kann nur ein Ticket für den Benutzer ausgeben, der die Anforderung vornimmt (Sie können kein Ticket für andere Benutzer anfordern). Ein Ticket enthält die verschlüsselte Domäne und den Benutzernamen des aktuellen Benutzers und die Ablaufzeit des Tickets. Nachdem das SSO-System ein Ticket ausgibt, läuft das Ticket standardmäßig in zwei Minuten ab. SSO-Administratoren können die Ablaufzeit für Tickets ändern. Weitere Informationen zum Konfigurieren der Einzel- Sign-On-Tickets für Unternehmen.
Nachdem eine Anwendung die Identität des ursprünglichen Antragstellers überprüft hat, löst die Anwendung das Ticket ein, um die Anmeldeinformationen des Benutzers abzurufen, der die Anforderung an die Partneranwendung initiiert hat. Eine Anwendung kann Tickets aus dem SSO-System auf eine von drei Arten einlösen:
Nur einlösen. Wenn eine Anwendung eine Anforderung zum Einlösen eines Tickets initiiert, muss die Anforderung den Namen der Partneranwendung enthalten, mit der eine Verbindung hergestellt werden soll, und das Ticket selbst. Nur Anwendungsadministratoren für die spezifische Partneranwendung, SSO-Partneradministratoren oder SSO-Administratoren können ein Ticket einlösen. Sie sollten "Einlösen" nur verwenden, wenn zwischen der Anwendung, die das Ticket ausgestellt hat, und der Anwendung, die das Ticket einlöst, ein vertrauenswürdiges Untersystem vorhanden ist. Nur ein Anwendungsadministrator für die angegebene Partneranwendung kann das Ticket für einen Benutzer einlösen.
Überprüfen und Einlösen. Tickets enthalten Informationen über den Benutzer, für den das SSO-System die Anmeldeinformationen nachschlägt. In diesem Fall überprüft der SSO-Dienst, dass der Absender der ursprünglichen Nachricht und der Benutzer des Tickets identisch sind, bevor das System das Ticket einlöst.
Ein SSO-Administrator kann Tickettimeouts pro Partneranwendung deaktivieren. Dies wird jedoch nicht empfohlen, da das Ticket für diese Anwendung nie ablaufen würde. Stellen Sie in Szenarien, in denen Sie Ticket-Timeouts deaktivieren müssen, sicher, dass ein sicheres End-to-End-Untersystem verwaltet wird zwischen dem Front-End, wo das SSO-System das Ticket ausstellt, und dem Adapter, wo das SSO-Ticket das Ticket einlöst.
Ein SSO-Partneradministrator kann angeben, dass Tickets zulässig sind und dass die Validierung des Tickets pro Partneranwendung erforderlich ist. Wenn der SSO-Administrator jedoch auf der SSO-Systemebene angibt, dass die Validierung von Tickets erforderlich ist, kann der SSO-Partneradministrator diese Option auf Partneranwendungsebene nicht deaktivieren.
Von Bedeutung
Wenn Sie SSO-Ticketing verwenden, müssen Sie sicherstellen, dass das Zeitlimit des Tickets lange genug ist, um den Zeitraum vom Ausstellen des Tickets bis zum Einlösen abzudecken.
Siehe auch
Verwalten von Benutzerzuordnungen
Grundlagen des Enterprise Single Sign-On
So konfigurieren Sie die Einzel-Sign-On-Tickets für Unternehmen