Applications associées de l’authentification unique
Les applications associées à l'Sign-On authentification unique d’entreprise (SSO) sont des entités logiques qui représentent un système ou un sous-système, comme un hôte, un système back-end ou une application métier à laquelle vous vous connectez à l’aide de l’authentification unique. Une application associée peut représenter un système principal, tel qu'un macroordinateur (grand système) ou un ordinateur fonctionnant sous UNIX. Elle peut également constituer une application SAP ou une sous-classe du système, telle que les sous-systèmes « Avantages » ou « Bulletin de paie ».
Lorsque l’administrateur de l’authentification unique ou l’administrateur affilié de l’authentification unique définit une application affiliée, il doit également déterminer qui administrera l’application affiliée (l’administrateur de l’application), qui sont les utilisateurs de l’application affiliée (les utilisateurs de l’application) et quels paramètres le système d’authentification unique utilisera pour authentifier les utilisateurs de cette application affiliée (l’ID d’utilisateur, mots de passe, codes PIN, etc.). Pour plus d’informations sur les administrateurs d’application et les utilisateurs d’application, consultez Groupes d’utilisateurs uniques Sign-On d’entreprise.
Types d'applications associées
L'authentification unique de l'entreprise définit différents types d'applications. Ces derniers prennent en charge différents types de mappages entre le compte Windows et le compte du système non-Windows.
Les types d’applications sont les suivants :
Individuels Les applications individuelles prennent en charge les mappages un-à-un entre le compte Windows et le compte non-Windows. Dans un type d'application individuelle, un compte Windows est mappé à un seul et unique compte non-Windows. Le mappage peut être utilisé dans les deux sens, soit à partir d'un compte Windows vers un compte non-Windows, soit à partir d'un compte non-Windows vers un compte Windows, ou les deux, selon les indicateurs définis pour cette application. Ainsi, les applications individuelles peuvent être utilisées pour l’authentification unique initiée par Windows, l’authentification unique initiée par l’hôte ou les deux.
Groupe Les applications de groupe prennent en charge les mappages entre un groupe Windows et un seul compte non Windows. Le compte Utilisateurs d'applications sert à définir le groupe Windows à utiliser pour cette application de groupe. Un seul mappage peut être défini pour une application de groupe. Il doit mapper le groupe Windows à un compte non-Windows unique qui sera utilisé par tous les membres de ce groupe Windows pour accéder au système non-Windows. Les applications de groupe ne peuvent être utilisées que pour l’authentification unique lancée par Windows.
Groupe hôte Les applications de groupe hôte sont conceptuellement inverses des applications de groupe. Elles prennent en charge les mappages entre un groupe défini de comptes non-Windows et un compte unique Windows. Pour cette application, le compte unique Windows utilisé par les comptes non-Windows est défini par le compte des utilisateurs de l'application. Le groupe des comptes non-Windows qui dispose d'une autorisation d'accès à cette application est défini par la création d'un mappage pour chaque compte non-Windows. Les applications de groupe hôte ne peuvent être utilisées que pour l’authentification unique initiée par l’hôte.
Conception d'une application associée
Avant de créer une application d’affiliation, l’administrateur affilié à l’authentification unique ou l’administrateur de l’authentification unique doit prendre les décisions suivantes :
Que va représenter l'application associée ? Vous devez connaître l’application non-Windows que l’application affiliée représentera dans le système d’authentification unique. Par exemple :
Nom de l’application : APP1
Description : Application pour le service Stub de paiement
Contact: administrator@companyname.com
Qui va administrer cette application associée ? Vous devez déterminer qui sont les administrateurs de cette application affiliée. Ceux-ci forment le groupe Administrateurs Windows pour cette application affiliée ; par exemple, Domain\APP1AdminGroup.
Qui va utiliser cette application associée ? Vous devez déterminer qui sont les utilisateurs finaux pour cette application affiliée. Ces utilisateurs représentent le groupe des utilisateurs Windows pour cette application associée, par exemple, Domain\DomainUsers. Dans le cas de l'application pour les bulletins de paie, vous pouvez souhaiter que tous les utilisateurs puissent accéder à leurs informations de bulletin de paie : vous pouvez donc spécifier le groupe des utilisateurs du domaine comme groupe d'utilisateurs de cette application.
Quelles informations d'identification l'application associée va-t-elle utiliser pour authentifier ses utilisateurs ? Différentes applications utilisent des informations d’identification différentes pour authentifier les utilisateurs. Par exemple, certaines applications peuvent utiliser des ID utilisateur, des mots de passe, des codes PIN ou une combinaison de ceux-ci. Vous devez également déterminer si le système doit masquer les informations d'identification que l'utilisateur va fournir.
Allez-vous utiliser des mappages individuels ou un mappage de groupe pour cette application associée ? Est-ce que chaque utilisateur Windows possède un compte dans le système principal ou le système principal possède-t-il un compte pour tous les utilisateurs Windows ? Dans le cas du système de talon de paiement, chaque utilisateur dispose d’un compte pour accéder aux informations de stub de paiement individuelles, et vous devez utiliser des mappages individuels.
Après avoir créé une application associée, il est impossible de modifier les propriétés suivantes :
Nom de l'application associée.
Champs associés à l’application associée.
Type d’application affilié (groupe hôte, individu ou magasin de configuration).
Compte d'administration identique au groupe des administrateurs d'applications associées (Si vous sélectionnez cette propriété, le groupe Administrateurs affiliés est utilisé comme compte d’administrateurs d’application pour cette application affiliée.)
Propriétés des applications associées
Le tableau suivant répertorie les propriétés que vous devez définir pour chaque application affiliée que vous créez.
| Propriété | Description |
|---|---|
| Nom de l'application | Nom de l'application associée. Une fois l'application associée créée, cette propriété ne peut plus être modifiée. |
| Description | Brève description de l'application associée. |
| Contact | Contact principal auquel les utilisateurs peuvent recourir pour cette application associée (il peut s'agir d'une adresse de messagerie). |
| appUserAccount | Groupe Windows qui contient les comptes d’utilisateur des utilisateurs finaux qui utiliseront cette application affiliée. |
| appAdminAccount | Groupe Windows contenant les comptes d'administrateur qui gèreront cette application associée. Note: Vous n’avez pas besoin de définir cette propriété si vous définissez adminAccountSame sur Oui. |
| Indicateur d'application | Description |
|---|---|
| enableApp | État de l'application associée. |
| groupApp | Détermine si cette application utilise un mappage de groupes (Oui) ou des mappages individuels (Non). Une fois l'application créée, cette propriété ne peut plus être modifiée. |
| configStoreApp | Détermine si cette application affiliée est une application de type Magasin de configuration (Oui). Une fois l'application créée, cette propriété ne peut plus être modifiée. |
| hostInitiatedSSO | Activez cette option s’il s’agit d’une application de type SSO initiée par l’hôte. La valeur par défaut est Non. |
| windowsInitiatedSSO | Cette case à cocher doit être activée s'il s'agit d'une application SSO initiée par Windows. La valeur par défaut est Oui. |
| validatePassword | Cela s’applique uniquement aux applications d’authentification unique initiées par l’hôte. Lorsque l’application tente de récupérer des informations d’identification, elle doit fournir le mot de passe dans la base de données d’informations d’identification, qui est utilisée pour la validation par les services d’authentification unique. La valeur par défaut est Oui. |
| disableCredCache | Le serveur d'authentification unique conserve les informations d'identification dans une mémoire cache afin d'en accélérer l'accès. La valeur par défaut est Non. |
| allowTickets | Indiquer si le système de l'authentification unique utilise des tickets pour cette application associée. Note: Vous devez être administrateur de l’authentification unique pour définir cet indicateur. |
| validateTickets | Indiquer si le système de l'authentification unique valide les tickets lors de leur échange. Note: Vous devez être administrateur de l’authentification unique pour définir cet indicateur. |
| appTicketTimeOut | Spécifier un délai d'attente du ticket spécifique à l'application associée. Vous pouvez le définir uniquement lors de la mise à jour d’une application affiliée, et non lors de sa création. Si les tickets sont autorisés pour l'application mais pas pour cette propriété, le délai d'attente utilisé est celui indiqué au niveau du système d'authentification unique (niveau global). Note: Vous devez être administrateur de l’authentification unique pour définir cet indicateur. |
| timeoutTickets | Déterminer si les tickets disposent d'un délai d'utilisation limité. La valeur par défaut est Non. Note: Vous devez être administrateur de l’authentification unique pour définir cet indicateur. |
| allowLocalAccounts | Détermine si l'utilisation des comptes et des groupes locaux est autorisée dans le système de l'authentification unique. Dans les scénarios impliquant un seul ordinateur, vous pouvez uniquement configurer cet indicateur sur Oui. |
| adminAccountSame | Détermine si le groupe des administrateurs d'applications associées à SSO doit être utilisé comme groupe d'administrateurs de l'application. Une fois l'application créée, cette propriété ne peut plus être modifiée. Note: Vous devez être administrateur de l’authentification unique pour définir cet indicateur. |
| Champs de l'application | Description | Description |
|---|---|---|
| Champ [0] | <informations d’identification> : masquée/non masquée | Détermine le type d’informations d’identification (ID utilisateur, mot de passe, carte à puce) que les utilisateurs finaux doivent fournir pour se connecter à l’application affiliée, et si ces informations d’identification sont masquées (autrement dit, si les caractères que l’utilisateur saisit sont affichés à l’écran). Vous pouvez entrer autant de champs qu'il y a d'informations d'identification pour cette application associée. Cependant, le premier champ est obligatoirement l'ID utilisateur. Une fois l'application créée, cette propriété ne peut plus être modifiée. |
Voir aussi
Gestion des applications associées
Mappages de l’authentification unique
Gestion des mappages utilisateur
Enterprise Single Sign-On - Notions de base