Requisiti di configurazione per l'accesso SSO avviato dall'host
Anche se l'accesso SSO (Enterprise Single Sign-On) e l'accesso SSO avviato dall'host hanno alcuni aspetti in comune, alcuni requisiti della piattaforma e di Active Directory sono univoci per l'accesso SSO avviato dall'host. In questo argomento vengono descritti tali requisiti e vengono indicati i passaggi per verificarli o crearli nel sistema in uso.
L'accesso SSO avviato dall'host può essere eseguito solo in un ambiente di dominio Windows Server nativo.
L'account del servizio per il servizio SSO che esegue l'accesso SSO avviato dall'host deve essere configurato per avere privilegi TCB (Trusted Computing Base). (è possibile configurarli per l'account del servizio nei criteri di sicurezza del dominio).
Inoltre, alcuni requisiti sono necessari quando si usa l'integratore di transazioni per l'elaborazione Host-Initiated (TI per HIP). TI per HIP usa l'accesso SSO avviato dall'host per ottenere Sign-On single per gli utenti non Windows.
Ad esempio, un account del servizio per TI per il servizio HIP viene eseguito in un nome di dominio dell'account del servizio \hipsvc. Questo servizio può ospitare applicazioni che vogliono accedere a risorse remote o locali in Windows con l'account Windows corrispondente all'account non Windows.
L'account domainname\hipsvc deve appartenere all'account del gruppo Amministratore applicazioni per l'applicazione affiliata usata per Single Sign-On.
L'account domainname\hipsvc deve avere privilegi di delega vincolati per l'uso dell'accesso Single Sign-On avviato dall'host. Può essere configurato dall'amministratore del dominio in Active Directory. La delega può essere configurata per gli account con nomi di entità servizio registrati (SPN). La delega vincolata consente all'account del servizio di accedere esclusivamente ai componenti specificati dall'amministratore.
Per verificare il livello di funzionalità del dominio
Nello snap-in Domini e trust di Microsoft Management Console (MMC) di Active Directory fare clic con il pulsante destro del mouse sul nodo Domini e trust di Active Directory e quindi scegliere Alza livello funzionale foresta.
Verificare che il livello funzionale sia Windows Server 2003. In caso contrario, consultare la documentazione di Active Directory prima di tentare di modificare l'impostazione.
Per creare un SPN
Scaricare l'utilità setpn dalla posizione seguente: Collegamento
Fare clic sul pulsante Start, scegliere Esegui, digitare
cmde quindi fare clic su OK.Al prompt dei comandi passare alla directory di installazione di Enterprise Single Sign-On.
Il valore predefinito è <drive>:\Programmi\Common Files\Enterprise Single Sign-On.
Digitare
setpsn -a hipsvc\computername.domain.com domain\hissvcdove hipsvc\computername.domain.com è il servizio che eseguirà l'operazione e il computer in esecuzione e domain\hissvc è l'account del servizio per hipsvc.
A questo scopo, è possibile configurare la delega vincolata in Active Directory per questo account del servizio (dominio\hissvc) per accedere alla risorsa appropriata nella rete.
Per concedere privilegi TCB per l'account del servizio SSO
In Criteri di sicurezza del dominio - Criteri locali - Assegnazione diritti utente aggiungere l'account del servizio SSO all'atto come parte dei criteri del sistema operativo .
Per altre informazioni, vedere Transizione del protocollo Kerberos e delega vincolata.