Tiket SSO
Di lingkungan perusahaan, di mana pengguna berinteraksi dengan berbagai sistem dan aplikasi, sangat mungkin lingkungan tidak mempertahankan konteks pengguna melalui beberapa proses, produk, dan komputer. Konteks pengguna ini sangat penting untuk menyediakan kemampuan akses menyeluruh, karena perlu untuk memverifikasi siapa yang memulai permintaan asli. Untuk mengatasi masalah ini Enterprise Single Sign-On (SSO) menyediakan tiket SSO (bukan tiket Kerberos) yang dapat digunakan aplikasi untuk mendapatkan kredensial yang sesuai dengan pengguna yang membuat permintaan asli. Tiket SSO tidak diaktifkan secara default. Untuk informasi selengkapnya tentang mengaktifkan tiket, lihat Cara Mengonfigurasi Tiket SSO.
Sistem SSO mengeluarkan tiket ketika diminta oleh pengguna Windows yang diautentikasi. Sistem SSO dapat mengeluarkan tiket untuk pengguna yang membuat permintaan atau untuk pengguna jarak jauh. Tiket berisi domain terenkripsi dan nama pengguna pengguna saat ini, dan waktu kedaluwarsa tiket. Setelah sistem SSO mengeluarkan tiket, tiket akan kedaluwarsa dalam dua menit secara default. Administrator SSO dapat mengubah waktu kedaluwarsa untuk tiket. Administrator SSO juga dapat mengatur batas waktu tiket di tingkat Aplikasi Afiliasi. Untuk informasi selengkapnya, lihat Cara Mengonfigurasi Tiket SSO.
Setelah aplikasi memverifikasi identitas pemohon asli, aplikasi menukarkan tiket untuk mendapatkan kredensial pengguna yang memulai aplikasi afiliasi permintaan. Aplikasi dapat menukarkan tiket dari sistem SSO dengan salah satu dari dua cara:
Hanya menukarkan. Ketika aplikasi memulai permintaan untuk menukarkan tiket, permintaan harus berisi nama aplikasi afiliasi untuk disambungkan, dan tiket itu sendiri. Hanya administrator aplikasi untuk aplikasi afiliasi tertentu, administrator afiliasi SSO, atau administrator SSO yang dapat menukarkan tiket. Anda harus menggunakan Redeem hanya ketika ada sub-sistem tepercaya antara aplikasi yang mengeluarkan tiket dan aplikasi yang menukarkan tiket. Hanya administrator aplikasi untuk aplikasi afiliasi yang ditentukan yang dapat menukarkan tiket untuk pengguna.
Memvalidasi dan menukarkan. Tiket berisi informasi tentang pengguna yang sistem SSO-nya melakukan pencarian kredensial. Dalam hal ini, layanan SSO memverifikasi bahwa pengirim pesan asli dan pengguna tiket sama sebelum sistem menukarkan tiket. Skenario adaptor Microsoft BizTalk Server memanfaatkan mekanisme ini.
Administrator SSO dapat menonaktifkan batas waktu tiket berdasarkan aplikasi per afiliasi. Meskipun ini tidak direkomendasikan dalam rilis sebelumnya, rilis ini mendukung penggunaan batas waktu tiket aplikasi per afiliasi. Opsi ini memungkinkan Anda untuk mengatur batas waktu tiket di tingkat Aplikasi Afiliasi. Jika ini tidak ditentukan, batas waktu tiket yang ditentukan pada tingkat global digunakan.
Administrator afiliasi SSO dapat menentukan bahwa tiket diizinkan dan validasi tiket diperlukan berdasarkan aplikasi per afiliasi. Namun, jika administrator SSO menentukan di tingkat sistem SSO bahwa validasi tiket diperlukan, administrator afiliasi SSO tidak dapat menonaktifkan opsi ini di tingkat aplikasi afiliasi.
Penting
Saat menggunakan tiket SSO, Anda harus memastikan bahwa nilai batas waktu tiket cukup lama untuk bertahan di antara waktu ketika tiket dikeluarkan hingga waktu ditukarkan.