Tickets d’authentification unique
Dans un environnement d’entreprise, où un utilisateur interagit avec différents systèmes et applications, il est très probable que l’environnement ne gère pas le contexte utilisateur via plusieurs processus, produits et ordinateurs. Ce contexte utilisateur est essentiel pour fournir des fonctionnalités d’authentification unique, car il est nécessaire de vérifier qui a lancé la demande d’origine. Pour résoudre ce problème, Enterprise Single Sign-On (SSO) fournit un ticket d’authentification unique (et non un ticket Kerberos) que les applications peuvent utiliser pour obtenir les informations d’identification correspondant à l’utilisateur qui a effectué la demande d’origine. Par défaut, les tickets d’authentification unique ne sont pas activés. Pour plus d’informations sur l’activation des tickets, consultez Comment configurer les tickets d'Sign-On d’entreprise.
Le système d'authentification unique émet un ticket à la demande d'un utilisateur Windows authentifié. Le système d’authentification unique peut uniquement émettre un ticket pour l’utilisateur qui effectue la demande (vous ne pouvez pas demander de ticket pour d’autres utilisateurs). Un ticket contient le domaine chiffré et le nom d’utilisateur de l’utilisateur actuel, ainsi que l’heure d’expiration du ticket. Une fois que le système d’authentification unique a envoyé un ticket, le ticket expire dans deux minutes par défaut. Les administrateurs de l'authentification unique peuvent modifier le délai d'expiration des tickets. Pour plus d’informations, consultez Comment configurer les tickets d'Sign-On d’entreprise.
Une fois qu’une application a vérifié l’identité du demandeur d’origine, l’application échange le ticket pour obtenir les informations d’identification de l’utilisateur qui a lancé la demande à l’application affiliée. Une application peut échanger des tickets à partir du système d’authentification unique de l’une des trois manières suivantes :
Échanger uniquement. Lorsqu'une application initie une demande d'échange d'un ticket, celle-ci doit contenir le nom de l'application associée à laquelle se connecter et le ticket lui-même. Seuls les administrateurs de l'application associée spécifique, les administrateurs des applications associées à authentification unique ou les administrateurs de l'authentification unique peuvent échanger un ticket. Vous devez utiliser Échanger uniquement lorsqu’il existe un sous-système approuvé entre l’application qui a émis le ticket et l’application qui utilise le ticket. Seul l'administrateur de l'application associée spécifiée peut échanger le ticket pour un utilisateur.
Valider et échanger. Les tickets contiennent des informations sur l'utilisateur dont le système d'authentification unique recherche les informations d'identification. Dans ce cas, le service d'authentification unique vérifie que l'expéditeur du message d'origine et l'utilisateur du ticket sont identiques avant que le système n'échange le ticket.
Un administrateur d’authentification unique peut désactiver les délais d’expiration des tickets sur une base d’application par affilié. Toutefois, cela n’est pas recommandé, car le ticket n’expirerait jamais pour cette application. Dans les scénarios qui nécessitent de désactiver les délais d’expiration des tickets, assurez-vous qu’un sous-système approuvé de bout en bout sécurisé est géré entre le serveur frontal où le système d’authentification unique émet le ticket vers l’adaptateur où le ticket d’authentification unique échange le ticket.
Un administrateur des applications associées à authentification unique peut spécifier que les tickets sont autorisés et que la validation des tickets est requise pour les applications associées individuelles. En revanche, si l'administrateur de l'authentification unique spécifie au niveau du système d'authentification unique que la validation des tickets est requise, l'administrateur des applications associées à authentification unique ne peut pas désactiver cette option au niveau de l'application associée.
Important
Lorsque vous utilisez des tickets d’authentification unique, vous devez vous assurer que la valeur du délai d’expiration du ticket est suffisamment longue pour durer entre le moment où le ticket est émis et le moment où il est échangé.
Voir aussi
Gestion des mappages utilisateur
Enterprise Single Sign-On - Notions de base
Comment configurer les tickets d'Sign-On d’entreprise