Vales de SSO
En un entorno empresarial, donde un usuario interactúa con varios sistemas y aplicaciones, es muy probable que el entorno no mantenga el contexto del usuario a través de varios procesos, productos y equipos. Este contexto de usuario es fundamental para proporcionar funcionalidades de inicio de sesión único, ya que es necesario comprobar quién inició la solicitud original. Para solucionar este problema, Enterprise Single Sign-On (SSO) proporciona un vale de SSO (no un vale kerberos) que las aplicaciones pueden usar para obtener las credenciales que corresponden al usuario que realizó la solicitud original. De forma predeterminada, los vales de SSO no están habilitados. Para obtener más información sobre cómo habilitar vales, vea How to Configure the Enterprise Single Sign-On Tickets.
El sistema de SSO envía un vale cuando lo solicite el usuario autenticado de Windows. El sistema SSO solo puede emitir un vale para el usuario que realiza la solicitud (no puede solicitar un vale para otros usuarios). Un vale contiene el dominio cifrado y el nombre de usuario del usuario actual y la hora de expiración del vale. Una vez que el sistema de SSO emite un vale, el vale expira en dos minutos de forma predeterminada. Los administradores de SSO pueden modificar la fecha de caducidad de los vales. Para obtener más información, How to Configure the Enterprise Single Sign-On Tickets.
Una vez que una aplicación comprueba la identidad del solicitante original, la aplicación canjea el vale para obtener las credenciales del usuario que inició la solicitud a la aplicación afiliada. Una aplicación puede canjear vales del sistema SSO de una de estas tres maneras:
Sólo canjear. Cuando una aplicación inicia una solicitud para canjear un vale, la solicitud debe incluir el nombre de la aplicación afiliada a la que se va a conectar y el propio vale. Sólo los administradores de la aplicación para la aplicación afiliada específica, administradores afiliados de SSO y los administradores de SSO pueden canjear un vale. Solo debe usar Canjear cuando haya un subsistema de confianza entre la aplicación que emitió el vale y la aplicación que está canjeando el vale. El vale para usuario sólo lo puede canjear el administrador de una aplicación para una aplicación específica.
Validar y canjear Los vales incluyen información acerca del usuario del cual el sistema de SSO realiza la búsqueda de credenciales. En este caso, el servicio SSO verifica que el remitente del mensaje original y el usuario del vale son el mismo antes de que el sistema canjee el vale.
Un administrador de SSO puede deshabilitar los tiempos de espera de vale por aplicación afiliada. Sin embargo, esto no se recomienda, ya que el vale nunca expiraría para esta aplicación. En escenarios que requieren que deshabilite los tiempos de espera de vale, asegúrese de que hay un subsistema seguro de confianza de un extremo a otro mantenido entre el front-end donde el sistema de SSO emite el vale al adaptador donde el vale de SSO canjea el vale.
Un administrador de SSO puede especificar que se permitan los vales y que la validación del vale sea necesaria basándose en las aplicaciones afiliadas. Sin embargo, si el administrador de SSO especifica en el nivel del sistema de SSO que se necesita la validación del vale, el administrador afiliado de SSO no puede desactivar esta opción en el nivel de la aplicación afiliada.
Importante
Al usar vales de SSO, debe asegurarse de que el valor de tiempo de espera del vale sea lo suficientemente largo como para durar entre el momento en que se emite el vale hasta el momento en que se canjea.
Administración de asignaciones de usuarios
Aspectos básicos de Enterprise Single Sign-On
Cómo configurar los vales de Sign-On único de empresa