Aplicaciones afiliadas de SSO
Las aplicaciones afiliadas de Enterprise Single Sign-On (SSO) son entidades lógicas que representan un sistema o un subsistema, como un host, un sistema back-end o una aplicación de línea de negocio a la que se conecta mediante SSO. Una aplicación afiliada puede representar un sistema back-end, como un equipo UNIX o gran sistema. También puede representar una aplicación, como SAP o una subdivisión del sistema, como los subsistemas "Beneficios" o "Recibos de pago".
Cuando el administrador de SSO o el administrador de filiales de SSO definen una aplicación afiliada, también deben determinar quién administrará la aplicación afiliada (el administrador de aplicaciones), quiénes son los usuarios de la aplicación afiliada (los usuarios de la aplicación) y qué parámetros usará el sistema SSO para autenticar a los usuarios de esta aplicación afiliada (el identificador de usuario, contraseñas, PIN, etc. Para obtener más información sobre los administradores de aplicaciones y los usuarios de aplicaciones, consulte Enterprise Single Sign-On Grupos de usuarios.
Tipos de aplicación afiliada
El SSO empresarial define varios tipos de aplicación diferentes. Los distintos tipos de aplicación admiten diferentes tipos de asignaciones entre la cuenta de Windows y la cuenta del sistema distinto de Windows.
Los tipos de aplicación son los siguientes:
Individual Las aplicaciones individuales admiten asignaciones de uno a uno entre la cuenta de Windows y la cuenta que no es de Windows. En una aplicación de tipo individual, una cuenta de Windows se asigna a una cuenta que no es de Windows, y sólo a una. La asignación se puede utilizar en cualquier sentido: desde Windows al sistema distinto de Windows, desde éste a Windows, o en ambos sentidos, en función de los indicadores que se han definido para la aplicación. Por lo tanto, las aplicaciones individuales se pueden usar para el inicio de sesión único iniciado por Windows, el inicio de sesión único iniciado por host o ambos.
Grupo Las aplicaciones de grupo admiten asignaciones entre un grupo de Windows y una sola cuenta que no sea de Windows. La cuenta de usuarios de aplicación se utiliza para definir el grupo de Windows que se usará para la aplicación de grupo. Tan sólo se puede definir una asignación para una aplicación de grupo, y esa asignación debe establecerse entre el grupo de Windows y la cuenta que no es de Windows y que utilizarán todos los miembros del grupo de Windows para obtener acceso al sistema distinto de Windows. Las aplicaciones de grupo solo se pueden usar para el inicio de sesión único iniciado por Windows.
Grupo host Las aplicaciones de grupo host son conceptualmente la inversa de las aplicaciones de grupo. Admiten asignaciones entre un grupo definido de cuentas que no son de Windows y una cuenta de Windows. La cuenta de usuarios de aplicación de la aplicación define la cuenta de Windows única que utilizarán las cuentas que no son de Windows. El grupo de las cuentas que no son de Windows al que se permite el acceso a esta aplicación se define mediante la creación de una asignación para cada cuenta que no es de Windows. Las aplicaciones de grupo host solo se pueden usar para el inicio de sesión único iniciado por host.
Diseñar una aplicación afiliada
Antes de crear una aplicación afiliada, el administrador de afiliados de SSO o el administrador de SSO deben tomar las siguientes decisiones:
¿Qué representa la aplicación afiliada? Debe conocer la aplicación que no es de Windows que la aplicación afiliada representará en el sistema SSO. Por ejemplo:
Nombre de la aplicación: APP1
Descripción: Aplicación para el departamento de código auxiliar de pago
Contacto: administrator@companyname.com
¿Quién administrará la aplicación afiliada? Debe determinar quiénes son los administradores para esta aplicación afiliada. Estos forman el grupo administradores de Windows para esta aplicación afiliada; por ejemplo, Domain\APP1AdminGroup.
¿Quién utilizará la aplicación afiliada? Debe determinar quiénes son los usuarios finales para esta aplicación afiliada. Estos usuarios representan el grupo de usuarios de Windows de la aplicación afiliada; por ejemplo, Dominio\UsuariosDominio. En el caso de la aplicación para los recibos de pago, si se desea que todos los usuarios obtengan acceso a la información de los recibos de pago correspondientes, se puede especificar el grupo de usuarios de dominio como el grupo de usuarios de la aplicación.
¿Qué credenciales utiliza la aplicación afiliada para autenticar sus usuarios? Las diferentes aplicaciones usan credenciales diferentes para autenticar a los usuarios. Por ejemplo, algunas aplicaciones pueden usar identificadores de usuario, contraseñas, PIN o una combinación de estas. Asimismo, es preciso determinar si el sistema tiene que enmascarar las credenciales a medida que el usuario las proporciona.
¿Se utilizarán asignaciones individuales o de grupo para la aplicación afiliada? ¿Cada usuario de Windows tiene una cuenta en el sistema de servidor o dispone éste de una cuenta para todos los usuarios de Windows? En el caso del sistema de código auxiliar de pago, cada usuario tiene una cuenta para acceder a la información de código auxiliar de pago individual y tendría que usar asignaciones individuales.
Tras crear una aplicación afiliada, no podrá modificar las siguientes propiedades:
Nombre de la aplicación afiliada.
Campos asociados a la aplicación afiliada.
Tipo de aplicación afiliada (grupo host, individual o almacén de configuración).
Cuenta de administración igual al grupo de administradores afiliados. (Si selecciona esta propiedad, el grupo de administradores afiliados se usa como cuenta de administradores de aplicaciones para esta aplicación afiliada).
Propiedades de aplicaciones afiliadas
En la tabla siguiente se enumeran las propiedades que debe definir para cada aplicación afiliada que cree.
| Propiedad | Descripción |
|---|---|
| Nombre de la aplicación | Nombre de la aplicación afiliada. No se puede cambiar esta propiedad tras crear la aplicación afiliada. |
| Descripción | Breve descripción de la aplicación afiliada. |
| Contacto | Contacto principal de la aplicación afiliada que pueden utilizar los usuarios. (Puede ser una dirección de correo electrónico.) |
| appUserAccount | Grupo de Windows que contiene las cuentas de usuario de los usuarios finales que usarán esta aplicación afiliada. |
| appAdminAccount | El grupo de Windows que contiene las cuentas de administradores que administrará la aplicación afiliada. Nota: No es necesario definir esta propiedad si establece adminAccountSame en Sí. |
| Indicador de aplicaciones | Descripción |
|---|---|
| enableApp | Estado de la aplicación afiliada. |
| groupApp | Determina si esta aplicación usa una asignación de grupo (Sí) o asignaciones individuales (No). No es posible cambiar esta propiedad tras crear la aplicación. |
| configStoreApp | Determina si esta aplicación afiliada es una aplicación de tipo Almacén de configuración (Sí). No es posible cambiar esta propiedad tras crear la aplicación. |
| hostInitiatedSSO | Habilite esta opción si es una aplicación de tipo SSO iniciada por el host. El valor predeterminado es No. |
| windowsInitiatedSSO | Habilite esta opción si la aplicación es del tipo SSO iniciado por Windows. El valor predeterminado es Yes. |
| validatePassword | Esto solo se aplica a las aplicaciones de SSO iniciadas por el host. Cuando la aplicación intenta recuperar las credenciales, debe proporcionar la contraseña en la base de datos de credenciales, que los servicios de SSO usan para la validación. El valor predeterminado es Yes. |
| disableCredCache | El servidor de SSO almacena las credenciales en una caché para acelerar el acceso. El valor predeterminado es No. |
| allowTickets | Determina si el sistema de SSO utiliza vales para la aplicación afiliada. Nota: Debe ser administrador de SSO para establecer esta marca. |
| validateTickets | Determina si el sistema de SSO valida vales cuando el usuario los canjea. Nota: Debe ser administrador de SSO para establecer esta marca. |
| appTicketTimeOut | Especificar un tiempo de espera de vales específico para la aplicación afiliada. Solo puede establecerlo al actualizar una aplicación afiliada, no al crearla. Si se habilita la compra de vales para la aplicación y no se habilita esta propiedad, se utiliza el tiempo de espera especificado en el nivel (global) del sistema de SSO. Nota: Debe ser administrador de SSO para establecer esta marca. |
| timeoutTickets | Determina si los vales tienen un periodo de vencimiento. El valor predeterminado es No. Nota: Debe ser administrador de SSO para establecer esta marca. |
| allowLocalAccounts | Determina si se permite el uso de las cuentas y los grupos locales en el sistema de SSO. Este indicador puede configurarse únicamente como Sí en escenarios de un solo equipo. |
| adminAccountSame | Determina si se utiliza el grupo de administradores afiliados de SSO como el grupo de administradores de aplicación. No es posible cambiar esta propiedad tras crear la aplicación. Nota: Debe ser administrador de SSO para establecer esta marca. |
| Campos de aplicación | Descripción | Descripción |
|---|---|---|
| Campo [0] | <credential>: Masked/Unmasked | Determina el tipo de credencial (id. de usuario, contraseña, tarjeta inteligente) que los usuarios finales deben proporcionar para conectarse a la aplicación afiliada y si esta credencial está enmascarada (es decir, si los caracteres que escribe el usuario se muestran en la pantalla). Puede especificar tantos campos como credenciales haya para la aplicación afiliada, aunque el primer campo debe ser el Id. de usuario. No es posible cambiar esta propiedad tras crear la aplicación. |
Consulte también
Administración de aplicaciones afiliadas
Asignaciones de SSO
Administración de asignaciones de usuarios
Aspectos básicos de Enterprise Single Sign-On