Konfigurieren von Anforderungen für vom Host initiiertes Einmaliges Anmelden (SSO)
Einmaliges Anmelden für Unternehmen (SSO) und vom Host initiiertes Einmaliges Anmelden (SSO) haben zwar einige Gemeinsamkeiten, bestimmte Plattform- und Active Directory-Anforderungen sind jedoch für vom Host initiiertes Einmaliges Anmelden (SSO) spezifisch. In diesem Thema werden diese Anforderungen erläutert und die Schritte beschrieben, um sie auf dem System zu überprüfen oder zu erstellen.
Vom Host initiiertes Einmaliges Anmelden (SSO) kann nur in einer systemeigenen Windows Server 2008-Domänenumgebung ausgeführt werden.
Das Dienstkonto für den SSO-Dienst, das vom Host initiiertes Einmaliges Anmelden (SSO) ausführt, muss mit TCB-Zugriffsberechtigungen konfiguriert sein. (Die können diese Berechtigungen für das Dienstkonto in der Richtlinie für die Domänensicherheit konfigurieren.)
Außerdem sind bestimmte Anforderungen erforderlich, wenn Transaction Integrator für Host Initiated Processing verwendet wird. TI für HIP nutzt vom Host initiiertes Einmaliges Anmelden (SSO), um Einmaliges Anmelden für Nicht-Windows-Benutzer bereitzustellen.
Das Dienstkonto für TI für HIP wird z. B. unter einem Dienstkonto Domänenname\hipsvc ausgeführt. Dieser Dienst kann Anwendungen hosten, die auf Remote- oder lokale Ressourcen unter Windows mit dem Windows-Konto zugreifen möchten, die dem Nicht-Windows-Konto entsprechen.
Das Konto Domänenname\hipsvc muss zum Konto der Gruppe Anwendungsadministrator für die Partneranwendung gehören, die für Einmaliges Anmelden verwendet wird.
Das Konto Domänenname\hipsvc muss über eingeschränkte Delegierungsberechtigungen verfügen, um vom Host initiiertes Einmaliges Anmelden (SSO) verwenden zu können. Diese Einstellungen können vom Domänenadministrator in Active Directory konfiguriert werden. Die Delegierung kann für Konten konfiguriert werden, die über registrierte Dienstprinzipalnamen verfügen. Eingeschränkte Delegierung ermöglicht dem Dienstkonto nur den Zugriff auf Komponenten, die vom Administrator angegeben wurden.
So überprüfen Sie Ihre Domänenfunktionsebene
Klicken Sie in Ihrem MMC-Snap-In Active Directory Domänen and Trusts mit der rechten Maustaste auf den Knoten Active Directory-Domänen und -Vertrauensstellungen, und klicken Sie dann auf Gesamtstrukturfunktionsebene erhöhen.
Stellen Sie sicher, dass die Funktionsebene Windows Server 2008 ist. Ist dies nicht der Fall, lesen Sie die Active Directory-Dokumentation, bevor Sie versuchen, die Einstellung zu ändern.
So erstellen Sie einen Dienstprinzipalnamen
Klicken Sie im Menü Start auf Ausführen.
Geben Sie im Dialogfeld Ausführencmd ein, und klicken Sie dann auf OK.
Wechseln Sie in der Befehlszeile zum Installationsverzeichnis für Einmaliges Anmelden (SSO) für Unternehmen. Der Standardwert ist <Laufwerk>:\Programme\Common Files\Enterprise Single Sign-On.
Geben Sie setpsn -a hipsvc\computername.domain.com domain\hissvc ein.
wobei hipsvc\computername.domain.com der Dienst ist, der den Vorgang ausführt, und der Computer, auf dem er ausgeführt wird, und domäne\hissvc ist das Dienstkonto für hipsvc.
Anschließend können Sie die eingeschränkte Delegierung in Active Directory für dieses Dienstkonto (domain\hissvc) so konfigurieren, dass der Zugriff auf die entsprechende Ressource im Netzwerk erfolgen kann.
So erteilen Sie TCB-Berechtigungen für das SSO-Dienstkonto
Fügen Sie unter Ihrer Domänensicherheitsrichtlinie – Lokale Richtlinien – Zuweisung von Benutzerrechten das SSO-Dienstkonto der Richtlinie "Als Teil der Betriebssystemrichtlinie handeln " hinzu.
Weitere Informationen zu Kerberos-Protokollübergang und eingeschränkter Delegierung finden Sie unter Eingeschränkte Kerberos-Delegierungsüberwendung.