Applicazioni affiliate SSO
Le applicazioni affiliate Enterprise Single Sign-On (SSO) sono entità logiche che rappresentano un sistema o un sottosistema, quale un host, un sistema back-end o un'applicazione line-of-business, a cui ci si connette tramite SSO. Un'applicazione affiliata può rappresentare un sistema back-end, quale un mainframe o un computer UNIX, un'applicazione, ad esempio SAP, oppure una suddivisione del sistema, ad esempio il sottosistema "Indennità" o il sottosistema "Stipendi".
Quando l'amministratore SSO o l'amministratore di applicazioni affiliate SSO definisce un'applicazione affiliata, deve anche determinare chi la amministrerà (amministratore dell'applicazione), chi siano gli utenti dell'applicazione affiliata (utenti dell'applicazione) e quali parametri verranno utilizzati dal sistema SSO per autenticare gli utenti dell'applicazione affiliata (ID utente, password, numeri PIN e così via). Per altre informazioni sugli amministratori delle applicazioni e sugli utenti dell'applicazione, vedere Gruppi di utenti SSO.
Tipi di applicazione affiliata
Enterprise SSO definisce diversi tipi di applicazione che supportano tipi diversi di mapping tra l'account Windows e l'account nel sistema non Windows.
Tipi di applicazione:
Individuo Le singole applicazioni supportano mapping uno-a-uno tra l'account Windows e l'account non Windows. In un'applicazione di tipo Individuale un account Windows viene mappato a un solo account non Windows. Il mapping può essere utilizzato in entrambe le direzioni, da Windows a non Windows, o da non Windows a Windows, o entrambi, in base ai flag impostati per l'applicazione. Le applicazioni di tipo Individuale possono pertanto essere utilizzate per SSO avviato da Windows, SSO avviato dall'host o entrambi.
Gruppo Le applicazioni di gruppo supportano mapping tra un gruppo di Windows e un singolo account non Windows. Per definire il gruppo di Windows che verrà utilizzato per l'applicazione di tipo Gruppo si utilizza l'account Utenti applicazione. Per un'applicazione di tipo Gruppo può essere definito un solo mapping, che deve essere tra il gruppo di Windows e il singolo account non Windows che verrà utilizzato da tutti i membri del gruppo di Windows per accedere al sistema non Windows. Le applicazioni di tipo Gruppo possono essere utilizzate solo per SSO avviato da Windows.
Gruppo host Le applicazioni del gruppo host sono concettualmente il contrario delle applicazioni group. Supportano mapping tra un gruppo definito di account non Windows e un singolo account Windows. Il singolo account Windows che verrà utilizzato dagli account non Windows è definito dall'account Utenti applicazione per l'applicazione. Il gruppo di account non Windows che possono accedere a quest'applicazione viene definito creando un mapping per ogni account non Windows. Le applicazioni Gruppo host possono essere utilizzate solo per SSO avviato dall'host.
Progettazione di un'applicazione affiliata
Prima di creare un'applicazione affiliata, l'amministratore di applicazioni affiliate SSO o l'amministratore SSO deve prendere le decisioni seguenti:
Che cosa rappresenterà l'applicazione affiliata? È necessario sapere quale applicazione non Windows verrà rappresentata dall'applicazione affiliata nel sistema SSO. Ad esempio,
Nome applicazione: APP1
Descrizione: Applicazione per il reparto stub a pagamento
Contattare: administrator@companyname.com
Chi amministrerà l'applicazione affiliata? È necessario determinare gli amministratori dell'applicazione affiliata, che costituiscono il gruppo di amministratori Windows per l'applicazione affiliata. Ad esempio, Dominio\GruppoAmminAPP1
Chi utilizzerà l'applicazione affiliata? È necessario determinare chi siano gli utenti finali dell'applicazione affiliata. Questi utenti rappresentano il gruppo di utenti Windows per l'applicazione affiliata, ad esempio Dominio\UtentiDominio. Nel caso dell'applicazione per gli stipendi, qualora fosse necessario che tutti gli utenti accedano alle informazioni sul proprio stipendio, sarà possibile specificare il gruppo di utenti del dominio come gruppo di utenti per l'applicazione.
Quali credenziali vengono utilizzate dall'applicazione affiliata per autenticare gli utenti? Le credenziali per autenticare gli utenti variano a seconda delle applicazioni. Alcune applicazioni, ad esempio, possono utilizzare gli ID utente, le password, i PIN o una combinazione di questi. È inoltre necessario determinare se il sistema debba mascherare le credenziali inserite dall'utente.
Per l'applicazione affiliata verranno utilizzati singoli mapping o un mapping di gruppo? È necessario stabilire se ogni utente Windows dispone di un account nel sistema back-end o se il sistema back-end dispone di un unico account per tutti gli utenti Windows. Nel caso del sistema per gli stipendi, poiché ogni utente dispone del proprio account per accedere alle informazioni sullo stipendio, sarà necessario utilizzare singoli mapping.
Dopo aver creato un'applicazione affiliata, non è possibile modificare le proprietà seguenti:
Nome dell'applicazione affiliata
Campi associati all'applicazione affiliata
Tipo di applicazione affiliata (gruppo host, individuale o archivio di configurazione)
Account di amministrazione identico al gruppo di amministratori di applicazioni affiliate. Se si seleziona questa proprietà, il gruppo di amministratori di applicazioni affiliate viene utilizzato come account degli amministratori dell'applicazione affiliata.
Proprietà delle applicazioni affiliate
Nella tabella seguente vengono elencate le proprietà da definire per ogni applicazione affiliata creata.
| Proprietà | Descrizione |
|---|---|
| Nome applicazione | Nome dell'applicazione affiliata. Non è possibile modificare questa proprietà dopo aver creato l'applicazione affiliata. |
| Descrizione | Breve descrizione dell'applicazione affiliata. |
| Contatto | Il contatto principale per questa applicazione affiliata che gli utenti possono utilizzare. Può essere un indirizzo di posta elettronica. |
| appUserAccount | Gruppo di Windows contenente gli account utente degli utenti finali che utilizzeranno l'applicazione affiliata. |
| appAdminAccount | Gruppo di Windows contenente gli account amministratore che gestiranno l'applicazione affiliata. Nota: Non è necessario definire questa proprietà se si imposta l'amministratoreAccountSame su Sì. |
| Flag dell'applicazione | Descrizione |
|---|---|
| enableApp | Stato dell'applicazione affiliata. |
| groupApp | Determina se l'applicazione utilizza un gruppo di mapping (Sì) o mapping singoli (No). Non è possibile modificare questa proprietà dopo aver creato l'applicazione. |
| configStoreApp | Determina se l'applicazione affiliata è di tipo archivio di configurazione (Sì). Non è possibile modificare questa proprietà dopo aver creato l'applicazione. |
| hostInitiatedSSO | Abilitare questo flag se l'applicazione è di tipo SSO avviato dall'host. L'impostazione predefinita è No. |
| windowsInitiatedSSO | Abilitare questo flag se l'applicazione è di tipo SSO avviato da Windows. Il valore predefinito è Yes. |
| validatePassword | Questo flag è valido solo per le applicazioni SSO avviate dall'host. Quando l'applicazione tenta di recuperare le credenziali, deve inserire la password nel database SSO utilizzato dai servizi SSO per la convalida. Il valore predefinito è Yes. |
| disableCredCache | Il server SSO archivia le credenziali in una cache per accelerare l'accesso. L'impostazione predefinita è No. |
| allowTickets | Determina se nel sistema SSO vengono utilizzati i ticket per questa applicazione affiliata. Sicurezza È necessario essere un amministratore SSO per impostare questo flag. |
| validateTickets | Determina se nel sistema SSO vengono convalidati i ticket quando l'utente li riscatta. Sicurezza È necessario essere un amministratore SSO per impostare questo flag. |
| appTicketTimeOut | Specificare un timeout ticket specifico per l'applicazione affiliata. Può essere impostato solo quando un'applicazione affiliata viene aggiornata, non quando viene creata. Se l'emissione di ticket è attivata per questa applicazione e questa proprietà non lo è, viene utilizzato il timeout specificato a livello di sistema SSO (Globale). Sicurezza Per impostare questo flag, è necessario essere un amministratore SSO. |
| timeoutTickets | Determina se i ticket hanno una data di scadenza. Il valore predefinito è Yes. Sicurezza A meno che non sia necessario, non disabilitare i timeout dei ticket (No.). Sicurezza Per impostare questo flag, è necessario essere un amministratore SSO. |
| allowLocalAccounts | Determina se si consente l'uso di account e gruppi locali nel sistema SSO. Questo flag può essere impostato su Sì solo in scenari con un singolo computer. |
| adminAccountSame | Determina se utilizzare il gruppo di amministratori di applicazioni affiliate SSO come gruppo di amministratori dell'applicazione. Non è possibile modificare questa proprietà dopo aver creato l'applicazione. Sicurezza Per impostare questo flag, è necessario essere un amministratore SSO o un amministratore di affiliate SSO. |
| Campi applicazione | Descrizione | Descrizione |
|---|---|---|
| Campo [0] | <Credenziali>: mascherate/non mascherate | Determina il tipo di credenziali (ID utente, password, smart card) che l'utente finale deve specificare per connettersi all'applicazione affiliata e indica se le credenziali sono mascherate, ovvero se i caratteri digitati dall'utente vengono visualizzati, oppure no. È possibile immettere tanti campi quante sono le credenziali per l'applicazione affiliata, ma il primo campo deve essere l'ID utente. Non è possibile modificare questa proprietà dopo aver creato l'applicazione. |
Vedere anche
Gestione delle applicazioni affiliate
Mapping SSO
Gestione dei mapping degli utenti