Requisiti di configurazione per l'accesso SSO avviato dall'host

Anche Enterprise single Sign-On (SSO) e l'accesso SSO avviato dall'host hanno alcuni aspetti in comune, alcuni requisiti di piattaforma e Active Directory sono univoci per l'accesso SSO avviato dall'host. In questo argomento vengono descritti tali requisiti e vengono indicati i passaggi per verificarli o crearli nel sistema in uso.

  • L'accesso SSO avviato dall'host può essere eseguito solo in un ambiente di dominio Windows Server nativo.

  • L'account del servizio SSO che esegue l'accesso SSO avviato dall'host deve essere configurato per avere privilegi TCB (Trusted Computing Base). (è possibile configurarli per l'account del servizio nei criteri di sicurezza del dominio).

    Inoltre, determinati requisiti sono necessari quando si usa Transaction Integrator per Host-Initiated Processing (TI for HIP). TI for HIP usa l'accesso SSO avviato dall'host per ottenere single Sign-On per utenti non Windows utenti.

    Ad esempio, un account di servizio per TI per il servizio HIP viene eseguito con un account di servizio domainname\hipsvc. Questo servizio può ospitare applicazioni che vogliono accedere a risorse remote o locali Windows con l'account Windows corrispondente all'account non Windows locale.

    L'account domainname\hipsvc deve appartenere all'account del gruppo Amministratore applicazioni per l'applicazione affiliata usata per l'accesso Single Sign-On.

    L'account domainname\hipsvc deve avere privilegi di delega vincolata per usare l'accesso Single Sign-On avviato dall'host. Può essere configurato dall'amministratore del dominio in Active Directory. La delega può essere configurata per gli account con nomi dell'entità servizio (SPN) registrati. La delega vincolata consente all'account del servizio di accedere esclusivamente ai componenti specificati dall'amministratore.

Per verificare il livello di funzionalità del dominio

  1. Nello snap-in Active Directory Domains and Trusts Microsoft Management Console (MMC) fare clic con il pulsante destro del mouse sul nodo Domini e trust di Active Directory e quindi scegliere Aumenta livello di funzionalità foresta.

  2. Verificare che il livello di funzionalità sia Windows Server 2003. In caso contrario, consultare la documentazione di Active Directory prima di tentare di modificare l'impostazione.

Per creare un SPN

  1. Scaricare l'utilità setspn dal percorso seguente: https://go.microsoft.com/fwlink/?LinkId=148820

  2. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd e quindi fare clic su OK.

  3. Al prompt dei comandi passare alla directory Enterprise di Sign-On di installazione.

    Il valore predefinito <è unità>:\Programmi\File comuni\Enterprise Single Sign-On.

  4. Digitare setpsn -a hipsvc\computername.domain.com domain\hissvc

    dove hipsvc\computername.domain.com è il servizio che eseguirà l'operazione e il computer in cui è in esecuzione e dominio\hissvc è l'account del servizio per hipsvc.

Dopo questa operazione, è possibile configurare la delega vincolata in Active Directory per questo account del servizio (dominio\hissvc) per accedere alla risorsa appropriata nella rete.

Per concedere privilegi TCB per l'account del servizio SSO

  • In Criteri di sicurezza del dominio - Criteri locali - Assegnazione diritti utente aggiungere l'account del servizio SSO al criterio Agire come parte dei criteri del sistema operativo.

    Per altre informazioni sulla transizione del protocollo Kerberos e sulla delega vincolata, vedere https://go.microsoft.com/fwlink/?LinkId=148816.

Vedere anche

Single Sign-On avviato dall'host