ホスト側開始 SSO のパスワードの検証
ホストによって開始されるシングル Sign-On (SSO) の関連アプリケーションが作成されると、Windows 以外のユーザーのパスワード検証が既定で有効になります。 つまり、アプリケーションが SSO を呼び出してリソースにアクセスするための Windows ユーザー トークンを取得する場合、Windows 以外のユーザー アカウントと Windows 以外のパスワードを指定する必要があります。 パスワードがその Windows 以外のユーザーの SSO 資格情報データベースのパスワードと一致しない場合、アクセスは拒否されます。 関連アプリケーションのパスワードの検証機能は、必要に応じて無効にできます。 パスワードの検証機能は、ホスト側開始 SSO の関連アプリケーションの種類が単独であっても、ホスト グループであってもどちらにも適用されます。
個々の種類のホストによって開始される SSO 関連アプリケーションの XML ファイルの例を次に示します。
<sso>
<application name="SAP">
<description>The SAP application</description>
<contact>someone@example.com</contact>
<appuserAccount>domain\AppUserGroupAccount</appuserAccount>
<appAdminAccount>domain\AppAdminGroupAccount</appAdminAccount>
<field ordinal="0" label="User Id" masked="no" />
<field ordinal="1" label="Password" masked="yes" />
<flags groupApp="no" configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalAccounts="no" timeoutTickets="yes" adminAccountSame="no" enableApp="no" />
</application>
</sso>
ホストによって開始される SSO の個々のアプリケーションの場合、appUserAccount は、対応する Windows 以外のアカウントとの 1 対 1 のマッピングを持つ Windows ドメイン アカウント ユーザーの一覧を含むグループ アカウントです。
ホスト グループの種類がホストによって開始される SSO 関連アプリケーションの XML ファイルの例を次に示します。
<sso>
<application name="SAP">
<description>The SAP application</description>
<contact>someone@example.com</contact>
<appuserAccount>domain\AppUserAccount</appuserAccount>
<appAdminAccount>domain\AppAdminGroupAccount</appAdminAccount>
<field ordinal="0" label="User Id" masked="no" />
<field ordinal="1" label="Password" masked="yes" />
<flags configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalAccounts="no" timeoutTickets="yes" adminAccountSame="no" enableApp="no" />
</application>
</sso>
ホスト側開始 SSO のグループ アプリケーションでは、上記の appUserAccount を、個別のユーザー アカウントにする必要があります。 このアカウントは、Windows 以外のアカウントがすべてマップされるアカウントです。