Ticket SSO
In un ambiente aziendale in cui un utente interagisce con diversi sistemi e applicazioni, è molto probabile che il contesto utente non venga mantenuto dal sistema attraverso più processi, prodotti e computer. Questo contesto utente è fondamentale per fornire funzionalità di Single Sign-On perché è necessario verificare chi ha avviato la richiesta originale. Per risolvere questo problema, Enterprise Single Sign-On (SSO) fornisce un ticket SSO (non un ticket Kerberos) che le applicazioni possono usare per ottenere le credenziali corrispondenti all'utente che ha effettuato la richiesta originale. Per impostazione predefinita, i ticket SSO non sono abilitati. Per altre informazioni sull'abilitazione dei ticket, vedere How to Configure the Enterprise Single Sign-On Tickets.
Il sistema SSO emette un ticket quando richiesto da un utente Windows autenticato. Il sistema SSO può emettere solo un ticket per l'utente che effettua la richiesta (non è possibile richiedere un ticket per altri utenti). Un ticket contiene il dominio crittografato e il nome utente dell'utente corrente e la scadenza del ticket. Dopo che il sistema SSO genera un ticket, il ticket scade in due minuti per impostazione predefinita. Gli amministratori SSO possono modificare la scadenza dei ticket. Per altre informazioni, come configurare i ticket di Sign-On single Sign-On enterprise.
Dopo aver verificato l'identità del richiedente originale, l'applicazione riscatta il ticket per ottenere le credenziali dell'utente che ha avviato la richiesta all'applicazione di affiliazione. Un'applicazione può riscattare i ticket dal sistema SSO in uno dei tre modi seguenti:
Solo riscatto. Quando un'applicazione avvia una richiesta per il riscatto di un ticket, tale richiesta deve includere il nome dell'applicazione affiliata a cui connettersi e il ticket stesso. Un ticket può essere riscattato solo dagli amministratori applicazioni per l'applicazione affiliata specifica, dagli amministratori di applicazioni affiliate SSO o dagli amministratori SSO. È consigliabile usare Riscatto solo quando è presente un sub-system attendibile tra l'applicazione che ha rilasciato il ticket e l'applicazione che riscatta il ticket. Il ticket per un utente può essere riscattato solo da un amministratore applicazioni per l'applicazione affiliata specificata.
Convalida e riscatto. I ticket includono informazioni relative all'utente per il quale il sistema SSO esegue la ricerca di credenziali. In questo caso, prima del riscatto del ticket da parte del sistema il servizio SSO verifica che il mittente del messaggio originale corrisponda all'utente del ticket.
Un amministratore SSO può disabilitare i timeout dei ticket in base a un'applicazione affiliata. Tuttavia, questo non è consigliato, poiché il ticket non scade mai per questa applicazione. Negli scenari che richiedono di disabilitare i timeout dei ticket, assicurarsi che sia presente un sotto system attendibile end-to-end sicuro mantenuto tra il front-end in cui il sistema SSO rilascia il ticket all'adapter in cui il ticket SSO riscatta il ticket.
Un amministratore di applicazioni affiliate SSO può specificare che i ticket sono consentiti e che la convalida del ticket è obbligatoria per le singole applicazioni affiliate. Se tuttavia l'amministratore SSO specifica a livello di sistema SSO che la convalida dei ticket è obbligatoria, l'amministratore di applicazioni affiliate SSO non potrà disattivare tale opzione a livello di applicazione affiliata.
Importante
Quando si usa il ticket SSO, è necessario assicurarsi che il valore di timeout del ticket sia sufficiente per durare tra l'ora in cui il ticket viene emesso al momento in cui viene riscattato.
Vedere anche
Gestione dei mapping degli utenti
Nozioni di base su Single Sign-On Enterprise
Come configurare i ticket di Sign-On single Sign-On enterprise