Convalida delle password per SSO avviato dall'host

  • Articolo

Quando viene creata un'applicazione di affiliazione per l'host Single Sign-On (SSO), la convalida della password per l'utente non Windows è abilitata per impostazione predefinita. Ciò significa che quando le applicazioni chiamano l'accesso SSO per ottenere il token utente di Windows per accedere alle risorse, devono fornire l'account utente non Windows e la password non Windows. Se la password non corrisponde alla password nel database delle credenziali SSO per l'utente non Windows, l'accesso viene negato. Se necessario, è possibile disabilitare la funzionalità di convalida della password per l'applicazione affiliata. La funzionalità di convalida della password si applica ad applicazioni affiliate sia di un singolo tipo che di tipo gruppo di host per SSO avviato dall'host.

Di seguito è riportato un file XML di esempio per le applicazioni associate SSO avviate dall'host di tipo singolo:

<sso>  
<application name="SAP">  
<description>The SAP application</description>   
<contact>someone@example.com</contact>   
<appuserAccount>domain\AppUserGroupAccount</appuserAccount>   
<appAdminAccount>domain\AppAdminGroupAccount</appAdminAccount>   
<field ordinal="0" label="User Id" masked="no" />   
<field ordinal="1" label="Password" masked="yes" />   
<flags groupApp="no"  configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalAccounts="no" timeoutTickets="yes" adminAccountSame="no" enableApp="no" />  
</application>  
</sso>

Nel caso di singole applicazioni per l'accesso SSO avviato dall'host, l'appUserAccount è un account di gruppo che contiene l'elenco degli utenti dell'account di dominio Windows con un mapping uno-a-uno corrispondente con gli account non Windows corrispondenti.

Di seguito è riportato un file XML di esempio per l'applicazione di associazione SSO avviata dal tipo di gruppo host:

<sso>  
<application name="SAP">  
<description>The SAP application</description>   
<contact>someone@example.com</contact>   
<appuserAccount>domain\AppUserAccount</appuserAccount>   
<appAdminAccount>domain\AppAdminGroupAccount</appAdminAccount>   
<field ordinal="0" label="User Id" masked="no" />   
<field ordinal="1" label="Password" masked="yes" />   
<flags  configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalAccounts="no" timeoutTickets="yes" adminAccountSame="no" enableApp="no" />  
</application>  
</sso>

Nelle applicazioni di gruppo per SSO avviato dall'host, appUserAccount deve essere un account utente singolo. È a questo account che viene eseguito il mapping di tutti gli account non Windows.

Vedere anche

Single Sign-On avviato dall'host