Requisitos de configuración para el inicio de sesión único iniciado por host
Aunque Enterprise Single Sign-On (SSO) y el inicio de sesión único iniciado por el host tienen ciertos aspectos en común, determinados requisitos de plataforma y Active Directory son únicos para el inicio de sesión único iniciado por el host. Este tema trata esos requisitos y enumera los pasos para comprobarlos o crearlos en el sistema.
El inicio de sesión único iniciado por host solo se puede ejecutar en un entorno de dominio nativo de Windows Server.
La cuenta de servicio del servicio SSO que realiza el inicio de sesión único iniciado por el host debe configurarse para tener privilegios de Base de computación segura (TCB). Puede configurar esto para la cuenta de servicio en la directiva de seguridad del dominio.
Además, se necesitan ciertos requisitos al usar el integrador de transacciones para Host-Initiated procesamiento (TI para HIP). TI for HIP usa el inicio de sesión único iniciado por el host para lograr un único Sign-On para usuarios que no son de Windows.
Por ejemplo, una cuenta de servicio para TI para el servicio HIP se ejecuta en una cuenta de servicio domainname\hipsvc. Este servicio puede hospedar aplicaciones que quieran acceder a recursos remotos o locales en Windows con la cuenta de Windows correspondiente a la cuenta que no es de Windows.
La cuenta domainname\hipsvc debe pertenecer a la cuenta de grupo administrador de aplicaciones para la aplicación afiliada que se usa para el inicio de sesión único.
La cuenta domainname\hipsvc debe tener privilegios de delegación restringidos para usar el inicio de sesión único iniciado por el host. Esto lo puede configurar el administrador del dominio en Active Directory. La delegación se puede configurar para las cuentas que tienen nombres de entidad de seguridad de servicio registrados (SPN). La delegación restringida permite a la cuenta de servicio obtener acceso sólo a los componentes que especifica el administrador.
Para comprobar su nivel funcional del dominio
En el complemento Dominios y confianzas de Active Directory Management Console (MMC), haga clic con el botón derecho en el nodo Dominios y confianzas de Active Directory y, a continuación, haga clic en Elevar nivel funcional del bosque.
Compruebe que el nivel funcional es Windows Server 2003. Si no es así, consulte la documentación de Active Directory antes de intentar cambiar esta configuración.
Para crear un SPN
Descargue la utilidad setspn desde la siguiente ubicación: Vínculo
Haga clic en Inicio, en Ejecutar, escriba
cmdy, a continuación, haga clic en Aceptar.En el símbolo del sistema, vaya al directorio de instalación enterprise Single Sign-On.
El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.
Escriba
setpsn -a hipsvc\computername.domain.com domain\hissvcdonde hipsvc\computername.domain.com es el servicio que realizará la operación y el equipo en el que se ejecuta, y domain\hissvc es la cuenta de servicio de hipsvc.
Después de hacerlo, puede configurar la delegación restringida en Active Directory para esta cuenta de servicio (domain\hissvc) para acceder al recurso adecuado en la red.
Para conceder a TCB privilegios para la cuenta de servicio SSO
En Directiva de seguridad de dominio- Directivas locales - Asignación de derechos de usuario, agregue la cuenta de servicio de SSO a la directiva Act como parte de la directiva del sistema operativo .
Para obtener más información, consulte Transición del protocolo Kerberos y Delegación restringida.