ユーザーがさまざまなシステムやアプリケーションと対話するエンタープライズ環境では、環境が複数のプロセス、製品、およびコンピューターを通じてユーザー コンテキストを維持しない可能性が非常に高くなります。 このユーザー コンテキストは、元の要求を開始したユーザーを確認する必要があるため、シングル サインオン機能を提供するために重要です。 この問題を解決するために、Enterprise Single Sign-On (SSO) は、アプリケーションが元の要求を行ったユーザーに対応する資格情報を取得するために使用できる SSO チケット (Kerberos チケットではありません) を提供します。 既定では、SSO チケットは有効になっていません。 チケットの有効化の詳細については、「 Enterprise Single Sign-On Tickets を構成する方法」を参照してください。
SSO システムは、認証された Windows ユーザーから要求されたときにチケットを発行します。 SSO システムは、要求を行っているユーザーに対してのみチケットを発行できます (他のユーザーのチケットを要求することはできません)。 チケットには、現在のユーザーの暗号化されたドメインとユーザー名、およびチケットの有効期限が含まれます。 SSO システムがチケットを発行すると、チケットは既定で 2 分で期限切れになります。 SSO 管理者は、チケットの有効期限を変更できます。 詳細については、「 Enterprise Single Sign-On Tickets を構成する方法」を参照してください。
アプリケーションが元の要求元の ID を確認した後、アプリケーションはチケットを引き換えて、関連アプリケーションへの要求を開始したユーザーの資格情報を取得します。 アプリケーションは、次の 3 つの方法のいずれかで SSO システムからチケットを引き換えることができます。
引き換えのみ。 アプリケーションがチケットの引き換え要求を開始する場合、要求には、接続する関連アプリケーションの名前とチケット自体が含まれている必要があります。 特定の関連アプリケーションのアプリケーション管理者、SSO 関連管理者、または SSO 管理者のみがチケットを利用できます。 チケットを発行したアプリケーションとチケットを 引き換 えるアプリケーションの間に信頼できるサブシステムがある場合にのみ、引き換えを使用する必要があります。 指定された関連アプリケーションのアプリケーション管理者のみが、ユーザーのチケットを引き換えることができます。
検証して引き換える。 チケットには、SSO システムが資格情報の検索を実行しているユーザーに関する情報が含まれています。 この場合、SSO サービスは、システムがチケットを引き換える前に、元のメッセージの送信者とチケットのユーザーが同じであることを確認します。
SSO 管理者は、関連アプリケーションごとにチケットのタイムアウトを無効にすることができます。 ただし、このアプリケーションのチケットの有効期限が切れることはありませんので、これはお勧めしません。 チケットのタイムアウトを無効にする必要があるシナリオでは、SSOシステムがチケットを発行するフロントエンドから、SSOチケットが引き換えられるアダプターまで、セキュリティで保護されたエンドツーエンドの信頼できるサブシステムが維持されていることを確認します。
SSO 関連管理者は、チケットを許可し、関連アプリケーションごとにチケットの検証が必要であることを指定できます。 ただし、SSO 管理者が SSO システム レベルでチケットの検証が必要であると指定した場合、SSO 関連管理者は関連アプリケーション レベルでこのオプションをオフにできません。
Important
SSO チケットを使用する場合は、チケットが発行されてから引き換えまでの間にチケットのタイムアウト値が十分に長く続くことを確認する必要があります。
こちらもご覧ください
ユーザー マッピングの管理
Enterprise Single Sign-On の基本
Enterprise Single Sign-On Tickets を構成する方法