Leggere in inglese

Condividi tramite


Ticket SSO

In un ambiente aziendale in cui un utente interagisce con diversi sistemi e applicazioni, è molto probabile che il contesto utente non venga mantenuto dal sistema attraverso più processi, prodotti e computer. Questo contesto utente è fondamentale per rendere disponibili le funzionalità SSO, in quanto è necessario verificare chi ha avviato la richiesta originale. Per risolvere questo problema, in Enterprise Single Sign-On (SSO) è disponibile un ticket SSO (non un ticket Kerberos) che può essere utilizzato dalle applicazioni per ottenere le credenziali corrispondenti all'utente che ha effettuato la richiesta originale. I ticket SSO non vengono abilitati per impostazione predefinita. Per altre informazioni sull'abilitazione dei ticket, vedere Come configurare i ticket SSO.

Il sistema SSO emette un ticket quando richiesto da un utente Windows autenticato. Il sistema SSO può emettere un ticket per l'utente che effettua la richiesta o per un utente remoto. Un ticket contiene il dominio e il nome utente corrente crittografati, nonché la data di scadenza del ticket. Per impostazione predefinita, il ticket scade due minuti dopo l'emissione da parte del sistema SSO. Gli amministratori SSO possono modificare la scadenza dei ticket. L'amministratore SSO può inoltre impostare il timeout del ticket a livello di applicazione affiliata. Per altre informazioni, vedere Come configurare i ticket SSO.

Dopo la verifica dell'identità del richiedente originale, l'applicazione riscatta il ticket per ottenere le credenziali dell'utente che ha avviato l'applicazione affiliata richiesta. Un'applicazione può riscattare i ticket dal sistema SSO in uno dei due modi seguenti:

  • Solo riscatto. Quando un'applicazione avvia una richiesta per il riscatto di un ticket, tale richiesta deve includere il nome dell'applicazione affiliata a cui connettersi e il ticket stesso. Un ticket può essere riscattato solo dagli amministratori applicazioni per l'applicazione affiliata specifica, dagli amministratori di applicazioni affiliate SSO o dagli amministratori SSO. È consigliabile usare Riscatto solo quando è presente un sotto system attendibile tra l'applicazione che ha rilasciato il ticket e l'applicazione riscattando il ticket. Il ticket per un utente può essere riscattato solo da un amministratore applicazioni per l'applicazione affiliata specificata.

  • Convalida e riscatto. I ticket includono informazioni relative all'utente per il quale il sistema SSO esegue la ricerca di credenziali. In questo caso, prima del riscatto del ticket da parte del sistema il servizio SSO verifica che il mittente del messaggio originale corrisponda all'utente del ticket. Gli scenari relativi all'adapter Microsoft BizTalk Server si avvalgono di questo meccanismo.

    Un amministratore SSO può disabilitare i timeout dei ticket per le singole applicazioni affiliate. Benché tale operazione non sia consigliata nelle versioni precedenti, questa versione supporta l'utilizzo di timeout dei ticket specifici per le singole applicazioni affiliate. Questa opzione consente di impostare i timeout dei ticket a livello di applicazione affiliata. Se non viene specificato altrimenti, viene utilizzato il timeout del ticket specificato a livello globale.

    Un amministratore di applicazioni affiliate SSO può specificare che i ticket sono consentiti e che la convalida del ticket è obbligatoria per le singole applicazioni affiliate. Se tuttavia l'amministratore SSO specifica a livello di sistema SSO che la convalida dei ticket è obbligatoria, l'amministratore di applicazioni affiliate SSO non potrà disattivare tale opzione a livello di applicazione affiliata.

Importante

Quando si utilizza la funzionalità di emissione dei ticket SSO, è necessario verificare che il valore di timeout del ticket sia sufficiente per coprire l'intervallo tra l'emissione del ticket e il momento in cui viene riscattato.

Vedere anche

Gestione dei mapping degli utenti