SSO チケット
ユーザーがさまざまなシステムおよびアプリケーションを操作するエンタープライズ環境では、複数のプロセス、製品、およびコンピュータでユーザー コンテキストが保持されないことがよくあります。 このユーザー コンテキストは、元の要求を開始したユーザーを確認するために必要なので、シングル サインオン機能を提供する場合に不可欠です。 この問題を解決するために、エンタープライズ シングル サインオン (SSO) には、SSO チケットが用意されており、アプリケーションで元の要求を行ったユーザーに対応する資格情報を取得する際に使用できます。このチケットは Kerberos チケットではありません。 既定では、SSO チケットは無効になっています。 チケットの有効化の詳細については、「 SSO チケットを構成する方法」を参照してください。
SSO システムは、認証済み Windows ユーザーが要求したときにチケットを発行します。 チケットは、要求を行うユーザーやリモート ユーザーに対して発行できます。 チケットには、現在のユーザーの暗号化されたドメインとユーザー名、およびチケットの有効期限が含まれます。 SSO システムによって発行されたチケットの有効期限は既定では 2 分です。 SSO 管理者は、チケットの有効期限を変更できます。 また、関連アプリケーション レベルで、チケットのタイムアウトを設定することもできます。 詳細については、「 SSO チケットを構成する方法」を参照してください。
アプリケーションは、要求元の身元を確認した後、チケットを引き換えて、要求の関連アプリケーションを開始したユーザーの資格情報を取得します。 アプリケーションが SSO システムからチケットを引き換えるには、次の 2 つの方法があります。
引き換えのみ : プリケーションが要求を開始してチケットを引き換えるとき、要求には、接続先の関連アプリケーションの名前、およびチケット自体を含める必要があります。 チケットを引き換えることができるのは、特定の関連アプリケーションのアプリケーション管理者、SSO 関連管理者、または SSO 管理者だけです。 [交換] は、チケットを発行したアプリケーションとチケットを引き換えるアプリケーションの間に信頼できるサブシステムがある場合にのみ使用する必要があります。 ユーザーのチケットを引き換えることができるのは、指定された関連アプリケーションのアプリケーション管理者だけです。
検証および引き換え : チケットには、SSO システムが資格情報を参照するユーザーに関する情報が含まれています。 この場合、SSO システムがチケットを引き換える前に、SSO サービスによって元のメッセージの送信者とチケットのユーザーが同じであることが確認されます。 Microsoft BizTalk Server アダプタのシナリオでは、このメカニズムが利用されています。
SSO 管理者は、関連アプリケーションごとにチケットのタイムアウトを無効にすることができます。 これは以前のリリースでは推奨されていませんでしたが、今回のリリースでは、関連アプリケーションごとのチケットのタイムアウトの使用がサポートされています。 このオプションを使用すると、関連アプリケーション レベルでチケットのタイムアウトを設定できます。 このオプションを指定しない場合は、グローバル レベルで指定したチケットのタイムアウトが使用されます。
SSO 関連管理者は、チケットが許可され、関連アプリケーションごとにチケットの検証が要求されるように指定できます。 ただし、SSO 管理者が SSO システム レベルでチケットの検証を行うように指定すると、SSO 関連管理者は、このオプションを関連アプリケーション レベルで無効にすることができません。
重要
SSO チケットを使用する場合は、チケットのタイムアウト値がチケットの発行時からチケットの引き換え時まで存続するようにする必要があります。