Teilen über


SSO-Partneranwendungen

Die Partneranwendungen für Enterprise Single Sign-On (SSO) sind logische Entitäten, die ein System oder Untersystem darstellen, z. B. einen Host, ein Back-End-System oder eine Branchenanwendung, mit der Sie eine Verbindung mit einmaligem Anmelden herstellen. Eine Partneranwendung kann ein Back-End-System (wie einen Großrechner oder UNIX-Computer) darstellen. Sie kann auch für eine Anwendung wie SAP stehen oder für eine Untereinheit des Systems, wie es bei den Subsystemen „Benefits“ oder „Pay Stub“ der Fall ist.

Wenn der SSO-Administrator oder SSO-Partneradministrator eine Partneranwendung einrichtet, müssen der Administrator der Partneranwendung, ihre Benutzer und die Parameter bestimmt werden, die das SSO-System zum Authentifizieren der Benutzer dieser Partneranwendung verwenden soll (Benutzer-ID, Kennwörter, PIN-Nummern usw.). Weitere Informationen zu Anwendungsadministratoren und Anwendungsbenutzern finden Sie unter SSO-Benutzergruppen.

Partneranwendungstypen

Für Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On, SSO) sind verschiedene Anwendungstypen definiert. Die unterschiedlichen Anwendungstypen unterstützen verschiedene Arten der Zuordnung zwischen dem Windows-Konto und dem Konto auf dem Nicht-Windows-System.

Es gibt folgende Anwendungstypen:

Individuum Einzelne Anwendungen unterstützen 1:1-Zuordnungen zwischen dem Windows-Konto und dem Nicht-Windows-Konto. In einer Einzelanwendung wird ein Windows-Konto nur einem Nicht-Windows-Konto zugeordnet. Die Zuordnung kann in beide Richtungen erfolgen, von Windows zu Nicht-Windows und/oder umgekehrt, je nachdem, welche Kennzeichen für die Anwendung gesetzt wurden. Daher können Einzelanwendungen für von Windows initiiertes SSO und/oder vom Host initiiertes SSO verwendet werden.

Gruppe Gruppenanwendungen unterstützen Zuordnungen zwischen einer Windows-Gruppe zu einem einzelnen Nicht-Windows-Konto. Die Windows-Gruppe, die für diese Anwendung vom Typ Gruppe verwendet wird, wird mithilfe des Kontos Anwendungsbenutzer definiert. Für eine Anwendung vom Typ Gruppe kann nur eine Zuordnung definiert werden. Diese Zuordnung muss zwischen der Windows-Gruppe und dem einzelnen Nicht-Windows-Konto erfolgen, das von allen Mitgliedern dieser Windows-Gruppe für den Zugriff auf das Nicht-Windows-System verwendet wird. Anwendungen vom Typ Gruppe können nur für von Windows initiiertes SSO verwendet werden.

Hostgruppe Hostgruppenanwendungen sind konzeptionell die Umgekehrtkeit von Gruppenanwendungen. Sie unterstützen Zuordnungen zwischen einer definierten Gruppe von Nicht-Windows-Konten und einem einzelnen Windows-Konto. Das einzelne Windows-Konto, das von den Nicht-Windows-Konten verwendet wird, wird durch das Konto "Anwendungsbenutzer" der Anwendung definiert. Die Gruppe der Nicht-Windows-Konten, die auf die Anwendung zugreifen darf, wird durch Erstellen einer Zuordnung für jedes Nicht-Windows-Konto definiert. Hostgruppenanwendungen können nur für vom Host initiiertes SSO verwendet werden.

Entwerfen einer Partneranwendung

Vor dem Erstellen einer Partneranwendung muss der SSO-Partneradministrator oder SSO-Administrator die folgenden Entscheidungen treffen:

  1. Wen oder was soll diese Partneranwendung repräsentieren? Sie müssen die Nicht-Windows-Anwendung kennen, die die Partneranwendung im SSO-System darstellt. Beispiel:

    Anwendungsname: APP1

    Beschreibung: Anwendung für die Stubabteilung "Pay"

    Kontakt: administrator@companyname.com

  2. Wer soll diese Partneranwendung verwalten? Sie müssen die Administratoren für diese Partneranwendung ermitteln. Diese bilden die Windows-Administratorengruppe für diese Partneranwendung. Beispiel: Domäne\APP1-AdminGruppe

  3. Wer soll diese Partneranwendung nutzen? Sie müssen die Endbenutzer dieser Partneranwendung bestimmen. Diese Benutzer stellen die Gruppe der Windows-Benutzer dieser Partneranwendung dar, z. B. Domäne\Domänenbenutzer. Bei der Anwendung für „Lohnbuchhaltung“ möchten Sie ggf., dass alle Benutzer auf ihre Lohnbuchhaltungsinformationen zugreifen können sollen, weshalb Sie die Gruppe der Domänenbenutzer als Benutzergruppe für diese Anwendung angeben können.

  4. Anhand welcher Anmeldeinformationen authentifiziert die Partneranwendung ihre Benutzer? In verschiedenen Anwendungen werden unterschiedliche Anmeldeinformationen für die Authentifizierung von Benutzern verwendet. In einigen Anwendungen erfolgt die Authentifizierung ggf. über Benutzer-IDs-, Kennwörter, PINs oder eine Kombination dieser Elemente. Sie müssen außerdem angeben, ob das System diese Anmeldeinformationen bei der Eingabe durch den Benutzer maskieren soll.

  5. Arbeiten Sie bei dieser Partneranwendung mit 1:1-Zuordnungen oder einer Gruppenzuordnung? Hat jeder Windows-Benutzer ein Konto im Back-End-System, oder verfügt das Back-End-System über ein Konto für alle Windows-Benutzer? Beim Lohnbuchhaltungssystem hat jeder Benutzer ein eigenes Konto für den Zugriff auf seine Lohnbuchhaltungsinformationen, weshalb Sie mit 1:1-Zuordnungen arbeiten müssen.

    Nach dem Erstellen einer Partneranwendung können die folgende Eigenschaften nicht geändert werden:

  • Name der Partneranwendung

  • Felder, die der Partneranwendung zugeordnet sind.

  • Der Partneranwendungstyp (Hostgruppe, Einzeln oder Konfigurationsspeicher)

  • Das Verwaltungskonto ist mit der Gruppe Partneradministratoren identisch. (Wenn Sie diese Eigenschaft auswählen, wird das Konto der Gruppe Partneradministratoren als Anwendungsadministratorenkonto für diese Partneranwendung verwendet.)

Eigenschaften von Partneranwendungen

Die folgende Tabelle enthält die Eigenschaften, die Sie für jede erstellte Partneranwendung festlegen müssen.

Eigenschaft BESCHREIBUNG
Anwendungsname Der Name der Partneranwendung. Sie können diese Eigenschaft nicht ändern, nachdem Sie die Partneranwendung erstellt haben.
BESCHREIBUNG Kurze Beschreibung der Partneranwendung
Contact Der Hauptkontakt für die Partneranwendung, den Benutzer verwenden können. (Dies kann eine Mail-Adresse sein.)
appUserAccount Die Windows-Gruppe mit den Benutzerkonten der Endbenutzer, die diese Partneranwendung verwenden sollen.
appAdminAccount Die Windows-Gruppe mit den Administratorkonten, die diese Partneranwendung verwalten sollen. Hinweis: Sie müssen diese Eigenschaft nicht definieren, wenn Sie adminAccountSame auf Ja festlegen.
Anwendungskennzeichen BESCHREIBUNG
enableApp Der Status dieser Partneranwendung.
groupApp Bestimmt, ob diese Anwendung mit einer Gruppenzuordnung (yes) oder 1:1-Zuordnungen (no) arbeitet.

Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden.
configStoreApp Bestimmt, ob diese Partneranwendung den Typ Konfigurationsspeicher hat (yes).

Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden.
hostInitiatedSSO Wählen Sie diese Option aus, wenn es sich um eine vom Host initiierte SSO-Anwendung handelt. Die Standardeinstellung ist Nein.
windowsInitiatedSSO Wählen Sie diese Option aus, wenn es sich um eine von Windows initiierte SSO-Anwendung handelt. Die Standardeinstellung ist „Ja“.
validatePassword Diese Eigenschaft gilt nur für vom Host initiierte SSO-Anwendungen. Wenn die Anwendung versucht, Anmeldeinformationen abzurufen, muss sie das Kennwort in der SSO-Datenbank bereitstellen, die für die Überprüfung durch die SSO-Dienste verwendet wird. Die Standardeinstellung ist „Ja“.
disableCredCache Der SSO-Server speichert Anmeldeinformationen in einem Cache, um den Zugriff zu beschleunigen. Die Standardeinstellung ist Nein.
allowTickets Legt fest, ob das SSO-System für diese Partneranwendung Tickets verwendet.

Sicherheit Sie müssen SSO-Administrator sein, um dieses Flag festzulegen.
validateTickets Legt fest, ob das SSO-System Tickets überprüft, wenn sie vom Benutzer eingelöst werden.

Sicherheit Sie müssen SSO-Administrator sein, um dieses Flag festzulegen.
appTicketTimeOut Gibt ein spezifisches Tickettimeout für die Partneranwendung an. Dies kann nur beim Aktualisieren einer Partneranwendung festgelegt werden, nicht jedoch beim Erstellen.

Wenn das Ticketing für diese Anwendung aktiviert ist und diese Eigenschaft nicht, wird das auf der Ebene des SSO-Systems (Global) angegebene Timeout verwendet.

Sicherheit Sie müssen SSO-Administrator sein, um dieses Flag festlegen zu können.
timeoutTickets Legt fest, ob für Tickets ein Timeout gilt. Die Standardeinstellung ist „Ja“.

Sicherheit Wenn dies nicht erforderlich ist, deaktivieren Sie keine Tickettimeouts (Nein).

Sicherheit Sie müssen SSO-Administrator sein, um dieses Flag festlegen zu können.
allowLocalAccounts Legt fest, ob Sie die Verwendung lokaler Gruppen und Konten im SSO-System erlauben. Sie können dieses Kennzeichen jedoch nur in Szenarien mit einem einzelnen Computer auf Yes festlegen.
adminAccountSame Bestimmt, ob die Gruppe der SSO-Partneradministratoren als Gruppe der Anwendungsadministratoren verwendet werden soll.

Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden.

Sicherheit Sie müssen ein SSO-Administrator oder SSO-Partneradministrator sein, um dieses Flag festlegen zu können.
Anwendungsfelder BESCHREIBUNG BESCHREIBUNG
Feld [0] <Anmeldeinformationen>: Maskiert/Entmasken Bestimmt den Typ der Anmeldeinformationen (Benutzer-ID, Kennwort, Smartcard), die Endbenutzer für die Verbindung mit der Partneranwendung angeben müssen, und ob diese Anmeldeinformationen maskiert werden oder nicht (d. h. ob die vom Benutzer auf dem Bildschirm eingegebenen Zeichen angezeigt werden).

Sie können so viele Felder eingeben, wie es Anmeldeinformationen für die Partneranwendung gibt. Das erste Feld muss jedoch die Benutzer-ID sein.

Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden.

Weitere Informationen

Verwalten von Partneranwendungen
SSO-Zuordnungen
Verwalten von Zuordnungen