Freigeben über

SSO-Tickets

  • Artikel

In einer Unternehmensumgebung, in der ein Benutzer mit verschiedenen Systemen und Anwendungen interagiert, ist es sehr wahrscheinlich, dass die Umgebung den Benutzerkontext nicht über mehrere Prozesse, Produkte und Computer verwaltet. Dieser Benutzerkontext ist entscheidend für die Bereitstellung von Funktionen für einmaliges Anmelden, da überprüft werden muss, wer die ursprüngliche Anforderung initiiert hat. Um dieses Problem zu beheben, stellt Enterprise Single Sign-On (SSO) ein SSO-Ticket (kein Kerberos-Ticket) bereit, mit dem Anwendungen die Anmeldeinformationen abrufen können, die dem Benutzer entsprechen, der die ursprüngliche Anforderung gestellt hat. SSO-Tickets sind standardmäßig nicht aktiviert. Weitere Informationen zum Aktivieren von Tickets finden Sie unter Konfigurieren von Enterprise Single Sign-On Tickets.

Das SSO-System stellt ein Ticket aus, wenn dies von einem authentifizierten Windows-Benutzer angefordert wird. Das SSO-System kann nur ein Ticket für den Benutzer ausstellen, der die Anforderung stellt (Sie können kein Ticket für andere Benutzer anfordern). Ein Ticket enthält die verschlüsselte Domäne und den Benutzernamen des aktuellen Benutzers sowie die Ablaufzeit des Tickets. Nachdem das SSO-System ein Ticket ausgibt, läuft das Ticket standardmäßig in zwei Minuten ab. Die Ablaufzeit für Tickets kann von SSO-Administratoren geändert werden. Weitere Informationen finden Sie unter Konfigurieren von Enterprise Single Sign-On Tickets.

Nachdem eine Anwendung die Identität des ursprünglichen Anforderers überprüft hat, löst die Anwendung das Ticket ein, um die Anmeldeinformationen des Benutzers abzurufen, der die Anforderung an die Partneranwendung initiiert hat. Eine Anwendung kann Tickets aus dem SSO-System auf eine von drei Arten einlösen:

  • Nur einlösen. Wenn eine Anwendung eine Anforderung zum Einlösen eines Tickets initiiert, muss die Anforderung den Namen der Partneranwendung enthalten, zu der eine Verbindung hergestellt werden soll, sowie das Ticket selbst. Nur Anwendungsadministratoren für die bestimmte Partneranwendung, SSO-Partneradministratoren oder SSO-Administratoren können ein Ticket einlösen. Sie sollten Einlösen nur verwenden, wenn zwischen der Anwendung, die das Ticket ausgestellt hat, und der Anwendung, die das Ticket einlöst, ein vertrauenswürdiges Untersystem vorhanden ist. Nur Anwendungsadministratoren für die angegebene Partneranwendung können das Ticket für einen Benutzer einlösen.

  • Überprüfen und einlösen. Tickets enthalten Informationen über den Benutzer, für den das SSO-System die Anmeldeinformationssuche ausführt. In diesem Fall überprüft der SSO-Dienst, ob der Absender der ursprünglichen Nachricht und der Benutzer des Tickets identisch sind, bevor das System das Ticket einlöst.

    Ein SSO-Administrator kann Tickettimeouts pro Partneranwendung deaktivieren. Dies wird jedoch nicht empfohlen, da das Ticket für diese Anwendung nie abläuft. Stellen Sie in Szenarien, in denen Sie Tickettimeouts deaktivieren müssen, sicher, dass zwischen dem Front-End ein sicheres vertrauenswürdiges Untersystem vorhanden ist, in dem das SSO-System das Ticket an den Adapter ausgibt, auf dem das SSO-Ticket das Ticket einlöst.

    Ein SSO-Partneradministrator kann angeben, dass Tickets zulässig sind und die Überprüfung von Tickets auf Partneranwendungsbasis erforderlich ist. Wenn der SSO-Administrator jedoch auf der SSO-Systemebene angibt, dass die Überprüfung von Tickets erforderlich ist, dann kann der SSO-Partneradministrator diese Option nicht auf Partneranwendungsebene deaktivieren.

Wichtig

Wenn Sie SSO-Ticketing verwenden, müssen Sie sicherstellen, dass der Tickettimeoutwert lang genug ist, um zwischen der Ausstellung des Tickets und dem Zeitpunkt, zu dem es eingelöst wird, zu dauern.

Weitere Informationen

Verwalten von Zuordnungen
Enterprise Single Sign-On – Grundlagen
Konfigurieren von Enterprise Single Sign-On Tickets