Configuration requise pour l’authentification unique initiée par l’hôte
Bien que l'Sign-On unique d’entreprise (SSO) et l’authentification unique initiée par l’hôte aient certains aspects en commun, certaines exigences relatives à la plateforme et à Active Directory sont propres à l’authentification unique initiée par l’hôte. Cette rubrique présente la configuration requise et répertorie les étapes permettant de la créer ou de la vérifier sur votre système.
L’authentification unique initiée par l’hôte ne peut être exécutée que sur un environnement de domaine Windows Server natif.
Le compte de service pour le service d’authentification unique qui effectue l’authentification unique initiée par l’hôte doit être configuré pour disposer de privilèges TCB (Trusted Computing Base). (Vous pouvez configurer ces paramètres pour le compte de service dans la stratégie de sécurité du domaine.)
En outre, certaines exigences sont nécessaires lors de l’utilisation de Transaction Integrator pour Host-Initiated Processing (TI pour HIP). TI pour HIP utilise l’authentification unique initiée par l’hôte pour obtenir une Sign-On unique pour les utilisateurs non-Windows.
Par exemple, un compte de service pour le service TI pour HIP s’exécute sous un compte de service domainname\hipsvc. Ce service peut héberger des applications qui souhaitent accéder à des ressources distantes ou locales sur Windows avec le compte Windows qui correspond au compte non-Windows.
Le compte domainname\hipsvc doit appartenir au compte de groupe Administrateur d’application de l’application affiliée utilisée pour l’authentification unique.
Le compte domainname\hipsvc doit avoir des privilèges de délégation limités pour utiliser l’authentification unique initiée par l’hôte. Cette opération incombe à l'administrateur de domaine dans Active Directory. La délégation peut être configurée pour les comptes qui ont des noms de principal de service (SPN) inscrits. La délégation contrainte autorise le compte de service à accéder uniquement aux composants spécifiés par l'administrateur.
Pour vérifier le niveau fonctionnel du domaine
Dans le composant logiciel enfichable MMC ( Domaines et approbations Active Directory ), cliquez avec le bouton droit sur le nœud Domaines et approbations Active Directory , puis cliquez sur Augmenter le niveau fonctionnel de la forêt.
Vérifiez que le niveau fonctionnel est Windows Server 2003. Si ce n'est pas le cas, consultez la documentation de Active Directory avant de tenter de modifier ce paramètre.
Pour créer un nom principal de service (SPN)
Téléchargez l’utilitaire setspn à partir de l’emplacement suivant : Lien
Cliquez sur Démarrer et sur Exécuter, tapez
cmd, puis cliquez sur OK.À l’invite de commandes, accédez au répertoire d’installation d’entreprise unique Sign-On.
La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.
Saisissez
setpsn -a hipsvc\computername.domain.com domain\hissvcoù hipsvc\computername.domain.com est le service qui effectuera l’opération et l’ordinateur sur lequel il s’exécute, et domain\hissvc est le compte de service pour hipsvc.
Après cela, vous pouvez configurer la délégation contrainte dans Active Directory pour ce compte de service (domaine\hissvc) afin d’accéder à la ressource appropriée dans le réseau.
Pour octroyer les privilèges TCB pour le compte de service de l'authentification unique
Sous Stratégie de sécurité du domaine - Stratégies locales - Attribution des droits de l’utilisateur, ajoutez le compte de service d’authentification unique à Act dans le cadre de la stratégie de système d’exploitation .
Pour plus d’informations, consultez Transition de protocole Kerberos et Délégation contrainte.