SSO-Partneranwendungen
Die SSO-Partneranwendungen (Enterprise Single Sign-On) sind logische Entitäten, die ein System oder Einteilsystem darstellen, z. B. einen Host, ein Back-End-System oder eine Branchenanwendung, mit der Sie über einmaliges Anmelden eine Verbindung herstellen. Eine Partneranwendung kann ein Back-End-System (wie einen Großrechner oder UNIX-Computer) darstellen. Sie kann auch für eine Anwendung wie SAP stehen oder für eine Untereinheit des Systems, wie es bei den Subsystemen „Benefits“ oder „Pay Stub“ der Fall ist.
Wenn der SSO-Administrator oder der SSO-Partneradministrator eine Partneranwendung definiert, muss er auch bestimmen, wer die Partneranwendung (der Anwendungsadministrator), wer die Benutzer der Partneranwendung sind (die Anwendungsbenutzer) und welche Parameter das SSO-System verwendet, um die Benutzer dieser Partneranwendung zu authentifizieren (die Benutzer-ID, Kennwörter, PINs usw. Weitere Informationen zu Anwendungsadministratoren und Anwendungsbenutzern finden Sie unter Enterprise Single Sign-On User Groups.
Partneranwendungstypen
Für Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On, SSO) sind verschiedene Anwendungstypen definiert. Die unterschiedlichen Anwendungstypen unterstützen verschiedene Arten der Zuordnung zwischen dem Windows-Konto und dem Konto auf dem Nicht-Windows-System.
Die Anwendungstypen sind wie folgt:
Individuum Einzelne Anwendungen unterstützen 1:1-Zuordnungen zwischen dem Windows-Konto und dem Nicht-Windows-Konto. In einer Einzelanwendung wird ein Windows-Konto nur einem Nicht-Windows-Konto zugeordnet. Die Zuordnung kann in beide Richtungen erfolgen, von Windows zu Nicht-Windows und/oder umgekehrt, je nachdem, welche Kennzeichen für die Anwendung gesetzt wurden. Daher können einzelne Anwendungen für Windows-initiiertes einmaliges Anmelden, hostinitiiertes einmaliges Anmelden oder beides verwendet werden.
Gruppe Gruppenanwendungen unterstützen Zuordnungen zwischen einer Windows-Gruppe und einem einzelnen Nicht-Windows-Konto. Die Windows-Gruppe, die für diese Anwendung vom Typ Gruppe verwendet wird, wird mithilfe des Kontos Anwendungsbenutzer definiert. Für eine Anwendung vom Typ Gruppe kann nur eine Zuordnung definiert werden. Diese Zuordnung muss zwischen der Windows-Gruppe und dem einzelnen Nicht-Windows-Konto erfolgen, das von allen Mitgliedern dieser Windows-Gruppe für den Zugriff auf das Nicht-Windows-System verwendet wird. Gruppenanwendungen können nur für Windows-initiiertes einmaliges Anmelden verwendet werden.
Hostgruppe Hostgruppenanwendungen sind vom Konzept her das Gegenteil von Gruppenanwendungen. Sie unterstützen Zuordnungen zwischen einer definierten Gruppe von Nicht-Windows-Konten und einem einzelnen Windows-Konto. Das einzelne Windows-Konto, das von den Nicht-Windows-Konten verwendet wird, wird durch das Konto "Anwendungsbenutzer" der Anwendung definiert. Die Gruppe der Nicht-Windows-Konten, die auf die Anwendung zugreifen darf, wird durch Erstellen einer Zuordnung für jedes Nicht-Windows-Konto definiert. Hostgruppenanwendungen können nur für vom Host initiiertes einmaliges Anmelden verwendet werden.
Entwerfen einer Partneranwendung
Vor dem Erstellen einer Partneranwendung muss der SSO-Partneradministrator oder der SSO-Administrator die folgenden Entscheidungen treffen:
Wen oder was soll diese Partneranwendung repräsentieren? Sie müssen die Nicht-Windows-Anwendung kennen, die die Partneranwendung im SSO-System darstellt. Beispiel:
Anwendungsname: APP1
Beschreibung: Anwendung für die Stub-Abteilung "Pay"
Kontakt: administrator@companyname.com
Wer soll diese Partneranwendung verwalten? Sie müssen bestimmen, wer die Administratoren für diese Partneranwendung sind. Diese bilden die Windows-Administratorgruppe für diese Partneranwendung; Beispiel: Domäne\APP1AdminGroup.
Wer soll diese Partneranwendung nutzen? Sie müssen ermitteln, wer die Endbenutzer für diese Partneranwendung sind. Diese Benutzer stellen die Gruppe der Windows-Benutzer dieser Partneranwendung dar, z. B. Domäne\Domänenbenutzer. Bei der Anwendung für „Lohnbuchhaltung“ möchten Sie ggf., dass alle Benutzer auf ihre Lohnbuchhaltungsinformationen zugreifen können sollen, weshalb Sie die Gruppe der Domänenbenutzer als Benutzergruppe für diese Anwendung angeben können.
Anhand welcher Anmeldeinformationen authentifiziert die Partneranwendung ihre Benutzer? Verschiedene Anwendungen verwenden unterschiedliche Anmeldeinformationen, um Benutzer zu authentifizieren. Beispielsweise können einige Anwendungen Benutzer-IDs, Kennwörter, PINs oder eine Kombination aus diesen verwenden. Sie müssen außerdem angeben, ob das System diese Anmeldeinformationen bei der Eingabe durch den Benutzer maskieren soll.
Arbeiten Sie bei dieser Partneranwendung mit 1:1-Zuordnungen oder einer Gruppenzuordnung? Hat jeder Windows-Benutzer ein Konto im Back-End-System, oder verfügt das Back-End-System über ein Konto für alle Windows-Benutzer? Im Fall des Pay-Stub-Systems verfügt jeder Benutzer über ein Konto für den Zugriff auf individuelle Zahlungsstubinformationen, und Sie müssten einzelne Zuordnungen verwenden.
Nach dem Erstellen einer Partneranwendung können die folgende Eigenschaften nicht geändert werden:
Der Name der Partneranwendung.
Felder, die der Partneranwendung zugeordnet sind.
Partneranwendungstyp (Hostgruppe, Einzelperson oder Konfigurationsspeicher).
Das Verwaltungskonto ist mit der Gruppe Partneradministratoren identisch. (Wenn Sie diese Eigenschaft auswählen, wird die Gruppe der Partneradministratoren als Anwendungsadministratorkonto für diese Partneranwendung verwendet.)
Eigenschaften von Partneranwendungen
In der folgenden Tabelle sind die Eigenschaften aufgeführt, die Sie für jede Partneranwendung definieren müssen, die Sie erstellen.
| Eigenschaft | BESCHREIBUNG |
|---|---|
| Anwendungsname | Der Name der Partneranwendung. Nach dem Erstellen der Partneranwendung kann diese Eigenschaft nicht mehr geändert werden. |
| BESCHREIBUNG | Eine Kurzbeschreibung der Partneranwendung. |
| Contact | Der Hauptkontakt für die Partneranwendung, den Benutzer verwenden können. (Dies kann eine Mail-Adresse sein.) |
| appUserAccount | Die Windows-Gruppe, die die Benutzerkonten von Endbenutzern enthält, die diese Partneranwendung verwenden werden. |
| appAdminAccount | Die Windows-Gruppe mit den Administratorkonten, die diese Partneranwendung verwalten sollen. Hinweis: Sie müssen diese Eigenschaft nicht definieren, wenn Sie adminAccountSame auf Ja festlegen. |
| Anwendungskennzeichen | BESCHREIBUNG |
|---|---|
| enableApp | Der Status dieser Partneranwendung. |
| groupApp | Bestimmt, ob diese Anwendung eine Gruppenzuordnung (Ja) oder einzelne Zuordnungen (Nein) verwendet. Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden. |
| configStoreApp | Bestimmt, ob es sich bei dieser Partneranwendung um eine Anwendung vom Typ "Configuration Store" handelt (Ja). Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden. |
| hostInitiatedSSO | Aktivieren Sie dies, wenn es sich um eine vom Host initiierte Anwendung vom Typ SSO handelt. Die Standardeinstellung ist Nein. |
| windowsInitiatedSSO | Wählen Sie diese Option aus, wenn es sich um eine von Windows initiierte SSO-Anwendung handelt. Die Standardeinstellung ist „Ja“. |
| validatePassword | Dies gilt nur für vom Host initiierte SSO-Anwendungen. Wenn die Anwendung versucht, Anmeldeinformationen abzurufen, muss sie das Kennwort in der Anmeldeinformationsdatenbank angeben, die für die Überprüfung durch SSO-Dienste verwendet wird. Die Standardeinstellung ist „Ja“. |
| disableCredCache | Für schnelleren Zugriff speichert der SSO-Server Anmeldeinformationen in einem Cache. Die Standardeinstellung ist Nein. |
| allowTickets | Legt fest, ob das SSO-System für diese Partneranwendung Tickets verwendet. Hinweis: Sie müssen SSO-Administrator sein, um dieses Flag festlegen zu können. |
| validateTickets | Legt fest, ob das SSO-System Tickets überprüft, wenn sie vom Benutzer eingelöst werden. Hinweis: Sie müssen SSO-Administrator sein, um dieses Flag festlegen zu können. |
| appTicketTimeOut | Gibt einen bestimmten Tickettimeoutwert für die Partneranwendung an. Sie können dies nur festlegen, wenn Sie eine Partneranwendung aktualisieren, nicht beim Erstellen. Wenn Tickets für diese Anwendung aktiviert sind und diese Eigenschaft nicht aktiviert ist, wird der auf der (globalen) SSO-Systemebene angegebene Timeoutwert verwendet. Hinweis: Sie müssen SSO-Administrator sein, um dieses Flag festlegen zu können. |
| timeoutTickets | Legt fest, ob für Tickets ein Timeout gilt. Die Standardeinstellung ist Nein. Hinweis: Sie müssen SSO-Administrator sein, um dieses Flag festlegen zu können. |
| allowLocalAccounts | Legt fest, ob Sie die Verwendung lokaler Gruppen und Konten im SSO-System erlauben. Sie können dieses Kennzeichen jedoch nur in Szenarien mit einem einzelnen Computer auf Yes festlegen. |
| adminAccountSame | Bestimmt, ob die Gruppe der SSO-Partneradministratoren als Gruppe der Anwendungsadministratoren verwendet werden soll. Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden. Hinweis: Sie müssen SSO-Administrator sein, um dieses Flag festlegen zu können. |
| Anwendungsfelder | BESCHREIBUNG | BESCHREIBUNG |
|---|---|---|
| Feld [0] | <Anmeldeinformationen>: Maskiert/Entmasken | Bestimmt den Typ der Anmeldeinformationen (Benutzer-ID, Kennwort, Smartcard), die Endbenutzer angeben müssen, um eine Verbindung mit der Partneranwendung herzustellen, und ob diese Anmeldeinformationen maskiert sind (d. a. ob die vom Benutzer eingegebenen Zeichen auf dem Bildschirm angezeigt werden). Sie können so viele Felder eingeben, wie es Anmeldeinformationen für die Partneranwendung gibt. Das erste Feld muss jedoch die Benutzer-ID sein. Nach dem Erstellen der Anwendung kann diese Eigenschaft nicht mehr geändert werden. |
Weitere Informationen
Verwalten von Partneranwendungen
SSO-Zuordnungen
Verwalten von Zuordnungen
Enterprise Single Sign-On – Grundlagen