Configuration requise pour l’authentification unique initiée par l’hôte

bien que Enterprise l’authentification Sign-On unique (sso) et l’authentification unique initiée par l’hôte présentent certains aspects en commun, certaines exigences de plateforme et de Active Directory sont propres à l’authentification unique initiée par l’hôte. Cette rubrique présente la configuration requise et répertorie les étapes permettant de la créer ou de la vérifier sur votre système.

  • l’authentification unique initiée par l’hôte ne peut être exécutée que sur un environnement de domaine Windows Server natif.

  • Le compte de service pour le service SSO qui effectue une authentification unique initiée par l’hôte doit être configuré de façon à avoir des privilèges TCB (Trusted Computing base). (Vous pouvez configurer ces paramètres pour le compte de service dans la stratégie de sécurité du domaine.)

    En outre, certaines exigences sont nécessaires lors de l’utilisation de l’intégrateur de transactions pour le traitement des Host-Initiated (TI pour HIP). TI pour HIP utilise l’authentification unique initiée par l’hôte pour obtenir une seule Sign-On pour les utilisateurs non Windows.

    Par exemple, un compte de service pour l’TI pour le service HIP s’exécute sous un compte de service domainname\hipsvc. ce service peut héberger des applications qui souhaitent accéder à des ressources distantes ou locales sur Windows avec le compte Windows qui correspond au compte non Windows.

    Le compte domainname\hipsvc doit appartenir au compte du groupe administrateurs de l’application pour l’application associée qui est utilisée pour l’authentification unique.

    Le compte domainname\hipsvc doit disposer de privilèges de délégation restreinte pour utiliser l’authentification unique initiée par l’hôte. Cette opération incombe à l'administrateur de domaine dans Active Directory. La délégation peut être configurée pour les comptes qui ont des noms de principal du service (SPN) inscrits. La délégation contrainte autorise le compte de service à accéder uniquement aux composants spécifiés par l'administrateur.

Pour vérifier le niveau fonctionnel du domaine

  1. Dans le composant logiciel enfichable domaines et approbations de la console MMC (Microsoft Management Console) de l’Active Directory, cliquez avec le bouton droit sur le nœud domaines et approbations Active Directory , puis cliquez sur augmenter le niveau fonctionnelde la forêt.

  2. vérifiez que le niveau fonctionnel est Windows Server 2003. Si ce n'est pas le cas, consultez la documentation de Active Directory avant de tenter de modifier ce paramètre.

Pour créer un nom principal de service (SPN)

  1. Téléchargez l’utilitaire setspn à partir de l’emplacement suivant : https://go.microsoft.com/fwlink/?LinkId=148820

  2. Cliquez sur Démarrer et sur Exécuter, tapez cmd, puis cliquez sur OK.

  3. à l’invite de commandes, accédez au répertoire d’installation de l’Enterprise unique Sign-On.

    la valeur par défaut est < lecteur > : \program Files\Common Files \ Enterprise Single Sign-On.

  4. Saisissez setpsn -a hipsvc\computername.domain.com domain\hissvc

    hipsvc\computername.domain.com est le service qui effectue l’opération et l’ordinateur sur lequel il s’exécute, et domain\hissvc est le compte de service pour hipsvc.

Après cela, vous pouvez configurer la délégation avec restriction dans Active Directory pour que ce compte de service (domain\hissvc) accède à la ressource appropriée sur le réseau.

Pour octroyer les privilèges TCB pour le compte de service de l'authentification unique

  • Sous stratégie de sécurité du domaine-stratégies locales-attribution des droits utilisateur, ajoutez le compte de service SSO à la stratégie agir dans le cadre de la stratégie du système d’exploitation .

    Pour plus d’informations sur la transition de protocole Kerberos et la délégation avec restriction, visitez https://go.microsoft.com/fwlink/?LinkId=148816 .

Voir aussi

Authentification unique initiée par l’hôte