如何設定主控件初始化的 SSO 的需求
雖然 Enterprise SSO 與主控件初始化的 SSO 在某些方面有共同的特點,但是某些平台和 Active Directory 需求對於主控件初始化的 SSO 而言則是唯一的。 本主題將討論這些需求,並列出在系統上檢查或建立它們的步驟。
主控件初始化的 SSO 僅能在原生的 Windows Server 2008 網域環境上執行。
必須設定執行主控件初始化之 SSO 服務的服務帳戶,才能擁有 TCB 權限。 (您可以為網域安全性原則中的服務帳戶來設定此項。)
此外,在使用「主控件初始化的處理」的「交易整合器」時,某些需求是必要的。 TI for HIP 會利用主控件初始化的 SSO,來達成非 Windows 使用者的「單一登入」。
例如,TI for HIP 服務的服務帳戶是在 domainname\hipsvc 服務帳戶下執行。 此服務可以使用對應至非 Windows 帳戶的 Windows 帳戶,裝載想要存取 Windows 上遠端或本機資源的應用程式。
domainname\hipsvc 帳戶必須隸屬於用來「單一登入」之「分支機構應用程式」的「應用程式系統管理員」群組帳戶。
domainname\hipsvc 帳戶必須已約束委派權限,才能使用主控件初始化的「單一登入」。 這可由 Active Directory 中的網域管理員來設定。 您可以為具有註冊之 SPN 的帳戶設定委派。 約束委派可讓服務帳戶只能存取由系統管理員所指定的元件。
檢查網域功能層級
在 Active Directory 網域和信任 MMC 嵌入式管理單元中,以滑鼠右鍵按一下 [ Active Directory 網域和信任] 節點,然後按一下 [ 提高樹系功能等級]。
確認功能等級為 Windows Server 2008。 若不是,請參閱 Active Directory 文件,再嘗試變更設定。
建立 SPN
在 [開始] 功能表上,按一下 [執行] 。
在 [ 執行 ] 對話方塊中,輸入 cmd,然後按一下 [ 確定]。
在命令列,移至「企業單一登入」安裝目錄。 預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。
輸入 setpsn -a hipsvc\computername.domain.com domain\hissvc
其中 hipsvc\computername.domain.com 是將執行作業且其執行所在的電腦,而 domain\hissvc 是 hipsvc 的服務帳戶。
這麼做之後,您就可以為此服務帳戶 (domain\hissvc) 在 Active Directory 中設定約束委派,以存取網路中的適當資源。
提供 TCB 權限給 SSO 服務帳戶
在 網域安全性原則 - 本機原則 - 使用者權限指派底下,將 SSO 服務帳戶新增至 作為作業系統原則的一部分 。
如需 Kerberos 通訊協定轉換和限制委派的詳細資訊,請移至 Kerberos 限制委派過度探索。