Tickets d’authentification unique

Dans un environnement d’entreprise, où un utilisateur interagit avec différents systèmes et applications, il est très probable que l’environnement ne conserve pas le contexte utilisateur par le biais de plusieurs processus, produits et ordinateurs. Ce contexte utilisateur est essentiel pour fournir des fonctionnalités d’authentification unique, car il est nécessaire de vérifier qui a lancé la demande d’origine. Pour résoudre ce problème, Enterprise Single Sign-On (SSO) fournit un ticket d’authentification unique (et non un ticket Kerberos) que les applications peuvent utiliser pour obtenir les informations d’identification correspondant à l’utilisateur qui a effectué la demande d’origine. Par défaut, les tickets d’authentification unique ne sont pas activés. Pour plus d’informations sur l’activation des tickets, consultez How to Configure the Enterprise Single Sign-On Tickets.

Le système d'authentification unique émet un ticket à la demande d'un utilisateur Windows authentifié. Le système d’authentification unique ne peut émettre qu’un ticket pour l’utilisateur effectuant la demande (vous ne pouvez pas demander de ticket pour d’autres utilisateurs). Un ticket contient le domaine chiffré et le nom d’utilisateur de l’utilisateur actuel, ainsi que l’heure d’expiration du ticket. Une fois que le système d’authentification unique émet un ticket, le ticket expire en deux minutes par défaut. Les administrateurs de l'authentification unique peuvent modifier le délai d'expiration des tickets. Pour plus d’informations, comment configurer les tickets d'Sign-On unique d’entreprise.

Une fois qu’une application a vérifié l’identité du demandeur d’origine, l’application échange le ticket pour obtenir les informations d’identification de l’utilisateur qui a lancé la demande à l’application affiliée. Une application peut échanger des tickets à partir du système d’authentification unique de l’une des trois manières suivantes :

  • Échanger uniquement. Lorsqu'une application initie une demande d'échange d'un ticket, celle-ci doit contenir le nom de l'application associée à laquelle se connecter et le ticket lui-même. Seuls les administrateurs de l'application associée spécifique, les administrateurs des applications associées à authentification unique ou les administrateurs de l'authentification unique peuvent échanger un ticket. Vous devez utiliser Échange uniquement lorsqu’il existe un sous-système approuvé entre l’application qui a émis le ticket et l’application qui échange le ticket. Seul l'administrateur de l'application associée spécifiée peut échanger le ticket pour un utilisateur.

  • Valider et échanger. Les tickets contiennent des informations sur l'utilisateur dont le système d'authentification unique recherche les informations d'identification. Dans ce cas, le service d'authentification unique vérifie que l'expéditeur du message d'origine et l'utilisateur du ticket sont identiques avant que le système n'échange le ticket.

    Un administrateur d’authentification unique peut désactiver les délais d’attente des tickets par application affiliée. Toutefois, cela n’est pas recommandé, car le ticket n’expire jamais pour cette application. Dans les scénarios qui nécessitent que vous désactiviez les délais d’attente des tickets, assurez-vous qu’il existe un sous-système approuvé de bout en bout sécurisé géré entre le serveur frontal où le système d’authentification unique émet le ticket à l’adaptateur où le ticket d’authentification unique échange le ticket.

    Un administrateur des applications associées à authentification unique peut spécifier que les tickets sont autorisés et que la validation des tickets est requise pour les applications associées individuelles. En revanche, si l'administrateur de l'authentification unique spécifie au niveau du système d'authentification unique que la validation des tickets est requise, l'administrateur des applications associées à authentification unique ne peut pas désactiver cette option au niveau de l'application associée.

Important

Lorsque vous utilisez un ticket d’authentification unique, vous devez vous assurer que la valeur du délai d’attente du ticket est suffisamment longue pour durer entre l’heure à laquelle le ticket est émis à l’heure à laquelle il est échangé.

Voir aussi

Gestion des mappages utilisateur
Enterprise Single Sign-On - Notions de base
Comment configurer les tickets d'Sign-On unique d’entreprise