SSO チケット

ユーザーがさまざまなシステムおよびアプリケーションを操作するエンタープライズ環境では、複数のプロセス、製品、およびコンピュータでユーザー コンテキストが保持されないことがよくあります。 このユーザー コンテキストは、元の要求を開始したユーザーを確認する必要があるため、シングル サインオン機能を提供するために重要です。 この問題を解決するために、Enterprise Single Sign-On (SSO) には、アプリケーションが元の要求を行ったユーザーに対応する資格情報を取得するために使用できる SSO チケット (Kerberos チケットではありません) が用意されています。 既定では、SSO チケットは有効になっていません。 チケットの有効化の詳細については、「 How to Configure the Enterprise Single Sign-On Tickets」を参照してください。

SSO システムは、認証済み Windows ユーザーが要求したときにチケットを発行します。 SSO システムは、要求を行っているユーザーのチケットのみを発行できます (他のユーザーのチケットを要求することはできません)。 チケットには、現在のユーザーの暗号化されたドメインとユーザー名、およびチケットの有効期限が含まれます。 SSO システムがチケットを発行すると、チケットは既定で 2 分で期限切れになります。 SSO 管理者は、チケットの有効期限を変更できます。 詳細については、「 How to Configure the Enterprise Single Sign-On Tickets」を参照してください。

アプリケーションが元の要求元の ID を確認した後、アプリケーションはチケットを引き換えて、関連アプリケーションへの要求を開始したユーザーの資格情報を取得します。 アプリケーションは、次の 3 つの方法のいずれかで SSO システムからチケットを引き換えることができます。

• 引き換えのみ : プリケーションが要求を開始してチケットを引き換えるとき、要求には、接続先の関連アプリケーションの名前、およびチケット自体を含める必要があります。 チケットを引き換えることができるのは、特定の関連アプリケーションのアプリケーション管理者、SSO 関連管理者、または SSO 管理者だけです。 [交換] は、チケットを発行したアプリケーションとチケットを引き換えるアプリケーションの間に信頼できるサブシステムがある場合にのみ使用する必要があります。 ユーザーのチケットを引き換えることができるのは、指定された関連アプリケーションのアプリケーション管理者だけです。

• 検証および引き換え : チケットには、SSO システムが資格情報を参照するユーザーに関する情報が含まれています。 この場合、SSO システムがチケットを引き換える前に、SSO サービスによって元のメッセージの送信者とチケットのユーザーが同じであることが確認されます。

  SSO 管理者は、関連アプリケーションごとにチケットのタイムアウトを無効にすることができます。 ただし、このアプリケーションではチケットの有効期限が切れることはありませんので、これはお勧めしません。 チケットのタイムアウトを無効にする必要があるシナリオでは、SSO システムがチケットを発行するフロントエンドの間に、SSO チケットがチケットを引き換えるアダプターにチケットを発行する、セキュリティで保護されたエンド ツー エンドの信頼されたサブシステムがあることを確認します。

  SSO 関連管理者は、チケットが許可され、関連アプリケーションごとにチケットの検証が要求されるように指定できます。 ただし、SSO 管理者が SSO システム レベルでチケットの検証を行うように指定すると、SSO 関連管理者は、このオプションを関連アプリケーション レベルで無効にすることができません。

重要

SSO チケットを使用する場合は、チケットが発行されてから引き換えまでの間にチケットのタイムアウト値が十分に長く続くことを確認する必要があります。

参照

ユーザー マッピングの管理
Enterprise Single Sign-On の基本
Enterprise Single Sign-On チケットを構成する方法