Aplicaciones afiliadas de SSO
Las aplicaciones afiliadas de Inicio de sesión único (SSO) empresarial son entidades lógicas que representan un sistema o subsistema, como un host, un sistema back-end o una línea de aplicación empresarial, a los que se conecta mediante SSO. Una aplicación afiliada puede representar un sistema back-end, como un equipo UNIX o gran sistema. También puede representar una aplicación, como SAP o una subdivisión del sistema, como los subsistemas "Beneficios" o "Recibos de pago".
Cuando el administrador de SSO o el administrador afiliado de SSO define una aplicación afiliada, también debe determinar quién administrará la aplicación afiliada (el administrador de aplicación), quiénes serán los usuarios de la aplicación afiliada (los usuarios de aplicación) y qué parámetros utilizará el sistema de SSO para autenticar los usuarios de la aplicación afiliada (el Id. de usuario, las contraseñas, los números PIN, etc.). Para obtener más información sobre los administradores de aplicaciones y los usuarios de aplicaciones, consulte Grupos de usuarios de SSO.
Tipos de aplicación afiliada
El SSO empresarial define varios tipos de aplicación diferentes. Los distintos tipos de aplicación admiten diferentes tipos de asignaciones entre la cuenta de Windows y la cuenta del sistema distinto de Windows.
Los tipos de aplicación son:
Individual Las aplicaciones individuales admiten asignaciones de uno a uno entre la cuenta de Windows y la cuenta que no es de Windows. En una aplicación de tipo individual, una cuenta de Windows se asigna a una cuenta que no es de Windows, y sólo a una. La asignación se puede utilizar en cualquier sentido: desde Windows al sistema distinto de Windows, desde éste a Windows, o en ambos sentidos, en función de los indicadores que se han definido para la aplicación. De este modo, las aplicaciones individuales se pueden utilizar para SSO iniciado por Windows, SSO iniciado por host o para ambos.
Grupo Las aplicaciones de grupo admiten asignaciones entre un grupo de Windows y una sola cuenta que no sea de Windows. La cuenta de usuarios de aplicación se utiliza para definir el grupo de Windows que se usará para la aplicación de grupo. Tan sólo se puede definir una asignación para una aplicación de grupo, y esa asignación debe establecerse entre el grupo de Windows y la cuenta que no es de Windows y que utilizarán todos los miembros del grupo de Windows para obtener acceso al sistema distinto de Windows. Las aplicaciones de grupo sólo pueden utilizarse para SSO iniciado por Windows.
Grupo host Las aplicaciones de grupo host son conceptualmente la inversa de las aplicaciones de grupo. Admiten asignaciones entre un grupo definido de cuentas que no son de Windows y una cuenta de Windows. La cuenta de usuarios de aplicación de la aplicación define la cuenta de Windows única que utilizarán las cuentas que no son de Windows. El grupo de las cuentas que no son de Windows al que se permite el acceso a esta aplicación se define mediante la creación de una asignación para cada cuenta que no es de Windows. Las aplicaciones de grupo de host sólo pueden utilizarse para SSO iniciado por host.
Diseñar una aplicación afiliada
Antes de crear una aplicación afiliada, el administrador afiliado de SSO o el administrador de SSO tiene que tomar las siguientes decisiones:
¿Qué representa la aplicación afiliada? Es necesario saber a qué aplicación que no es de Windows representará la aplicación afiliada en el sistema de SSO. Por ejemplo,
Nombre de la aplicación: APP1
Descripción: Aplicación para el departamento de código auxiliar de pago
Contacto: administrator@companyname.com
¿Quién administrará la aplicación afiliada? Es necesario determinar los administradores de la aplicación afiliada. Ellos forman el grupo de administradores de Windows para la aplicación afiliada. Por ejemplo, Dominio\GrupoAdminAPP1
¿Quién utilizará la aplicación afiliada? Es necesario determinar quiénes serán los usuarios finales de la aplicación afiliada. Estos usuarios representan el grupo de usuarios de Windows de la aplicación afiliada; por ejemplo, Dominio\UsuariosDominio. En el caso de la aplicación para los recibos de pago, si se desea que todos los usuarios obtengan acceso a la información de los recibos de pago correspondientes, se puede especificar el grupo de usuarios de dominio como el grupo de usuarios de la aplicación.
¿Qué credenciales utiliza la aplicación afiliada para autenticar sus usuarios? Las distintas aplicaciones utilizan credenciales diferentes para autenticar usuarios. Por ejemplo, algunas aplicaciones pueden utilizar Id. de usuario, contraseñas, números PIN o una combinación de estos elementos. Asimismo, es preciso determinar si el sistema tiene que enmascarar las credenciales a medida que el usuario las proporciona.
¿Se utilizarán asignaciones individuales o de grupo para la aplicación afiliada? ¿Cada usuario de Windows tiene una cuenta en el sistema de servidor o dispone éste de una cuenta para todos los usuarios de Windows? En el caso del sistema de recibos de pago, cada usuario tiene su propia cuenta para obtener acceso a la información de recibos de pago correspondiente, por lo que será preciso utilizar asignaciones individuales.
Tras crear una aplicación afiliada, no podrá modificar las siguientes propiedades:
Nombre de la aplicación afiliada
Campos asociados con la aplicación afiliada
Tipo de aplicación afiliada (grupo de host, individual o almacén de configuración)
Cuenta de administración igual al grupo de administradores afiliados. (Si se selecciona esta propiedad, el grupo de administradores afiliados se utiliza como la cuenta de administradores de aplicación para la aplicación afiliada.)
Propiedades de aplicaciones afiliadas
En la siguiente tabla se enumeran las propiedades que es preciso definir para cada aplicación afiliada que se cree.
| Propiedad | Descripción |
|---|---|
| Nombre de la aplicación | Nombre de la aplicación afiliada. No es posible cambiar esta propiedad tras crear la aplicación afiliada. |
| Descripción | Breve descripción de la aplicación afiliada |
| Contacto | Contacto principal de la aplicación afiliada que pueden utilizar los usuarios. (Puede ser una dirección de correo electrónico.) |
| appUserAccount | El grupo de Windows que contiene las cuentas de usuario de los usuarios finales que utilizará la aplicación afiliada. |
| appAdminAccount | El grupo de Windows que contiene las cuentas de administradores que administrará la aplicación afiliada. Nota: No es necesario definir esta propiedad si establece adminAccountSame en Sí. |
| Indicador de aplicaciones | Descripción |
|---|---|
| enableApp | Estado de la aplicación afiliada. |
| groupApp | Determina si la aplicación utiliza una asignación de grupo (Sí) o asignaciones individuales (No). No es posible cambiar esta propiedad tras crear la aplicación. |
| configStoreApp | Determina si la aplicación afiliada es una aplicación de tipo de almacén de configuración (Sí). No es posible cambiar esta propiedad tras crear la aplicación. |
| hostInitiatedSSO | Habilite esta opción si la aplicación es del tipo SSO iniciado por host. El valor predeterminado es No. |
| windowsInitiatedSSO | Habilite esta opción si la aplicación es del tipo SSO iniciado por Windows. El valor predeterminado es Yes. |
| validatePassword | Esto es aplicable únicamente a aplicaciones de SSO iniciadas por host. Cuando la aplicación intente recuperar credenciales, debe proporcionar la contraseña de la base de datos de SSO que se utiliza para que los servicios SSO efectúen la validación. El valor predeterminado es Yes. |
| disableCredCache | El servidor de SSO almacena las credenciales en una memoria caché para acelerar el acceso. El valor predeterminado es No. |
| allowTickets | Determina si el sistema de SSO utiliza vales para la aplicación afiliada. Seguridad Debe ser administrador de SSO para establecer esta marca. |
| validateTickets | Determina si el sistema de SSO valida vales cuando el usuario los canjea. Seguridad Debe ser administrador de SSO para establecer esta marca. |
| appTicketTimeOut | Especifica un tiempo de espera de vales específico para la aplicación afiliada. Se puede establecer únicamente al actualizar una aplicación afiliada, no al crearla. Si el vale está habilitado para esta aplicación y esta propiedad no es así, se usa el tiempo de espera especificado en el nivel del sistema de SSO (global). Seguridad Debe ser administrador de SSO para establecer esta marca. |
| timeoutTickets | Determina si los vales tienen un periodo de vencimiento. El valor predeterminado es Yes. Seguridad A menos que sea necesario, no deshabilite los tiempos de espera de vale (No.). Seguridad Debe ser administrador de SSO para establecer esta marca. |
| allowLocalAccounts | Determina si se permite el uso de las cuentas y los grupos locales en el sistema de SSO. Este indicador puede configurarse únicamente como Sí en escenarios de un solo equipo. |
| adminAccountSame | Determina si se utiliza el grupo de administradores afiliados de SSO como el grupo de administradores de aplicación. No es posible cambiar esta propiedad tras crear la aplicación. Seguridad Debe ser administrador de SSO o administrador de filiales de SSO para establecer esta marca. |
| Campos de aplicación | Descripción | Descripción |
|---|---|---|
| Campo [0] | <credential>: Masked/Unmasked | Determina el tipo de credencial (Id. de usuario, contraseña o tarjeta inteligente) que deben proporcionar los usuarios finales para efectuar la conexión con la aplicación afiliada, así como si la credencial se enmascara (es decir, si los caracteres que el usuario escribe se muestran en pantalla) o no. Puede especificar tantos campos como credenciales haya para la aplicación afiliada, aunque el primer campo debe ser el Id. de usuario. No es posible cambiar esta propiedad tras crear la aplicación. |
Consulte también
Administración de aplicaciones afiliadas
Asignaciones de SSO
Administración de asignaciones de usuarios