主控制項初始化的 SSO 的設定需求

雖然 Enterprise 單一 Sign-On (SSO) 和主機起始的 sso 在常見的情況下有某些層面,但特定平臺和 Active Directory 需求對主機起始的 sso 是唯一的。 本主題將討論這些需求,並列出在系統上檢查或建立它們的步驟。

  • 主控制項初始化的 SSO 只能在原生 Windows Server 網域環境上執行。

  • 執行主控制項初始化的 SSO 之 SSO 服務的服務帳戶,必須設定為具有 (TCB) 許可權的受信任運算基礎。 (您可以為網域安全性原則中的服務帳戶來設定此項。)

    此外,針對 HIP) 使用交易整合器進行 Host-Initiated 處理 (TI 時,需要某些需求。 TI for HIP 會使用主控制項初始化的 SSO,以達成非 Windows 使用者的單一 Sign-On。

    例如,在服務帳戶 domainname\hipsvc下執行 TI for HIP 服務的服務帳戶。 這種服務可以裝載應用程式,而這些應用程式想要使用對應至非 Windows 帳戶的 Windows 帳戶存取 Windows 上的遠端或本機資源。

    Domainname\hipsvc帳戶必須屬於用於單一登入之分支機搆應用程式的應用程式系統管理員群組帳戶。

    Domainname\hipsvc帳戶必須有限制委派許可權,才能使用主機起始的單一登入。 這可由 Active Directory 中的網域管理員來設定。 您可以針對已註冊服務主體名稱 (SPN) 的帳戶設定委派。 約束委派可讓服務帳戶只能存取由系統管理員所指定的元件。

檢查網域功能層級

  1. 在 [ Active Directory 網域和信任 ] MICROSOFT MANAGEMENT CONSOLE (MMC) 嵌入式管理單元中,以滑鼠右鍵按一下 [ Active Directory 網域和信任 ] 節點,然後按一下 [ 提高樹系功能等級]。

  2. 確認功能等級Windows Server 2003。 若不是,請參閱 Active Directory 文件,再嘗試變更設定。

建立 SPN

  1. 從下列位置下載 setspn 公用程式: https://go.microsoft.com/fwlink/?LinkId=148820

  2. 按一下 [ 開始],按一下 [ 執行],輸入 cmd ,然後按一下 [確定]

  3. 在命令提示字元中,移至 Enterprise 單一 Sign-On 安裝目錄。

    預設值為 < 磁片磁碟機 > : \Program Files\Common Files \ 企業單一登入。

  4. 輸入 setpsn -a hipsvc\computername.domain.com domain\hissvc

    其中 hipsvc\computername.domain.com 是執行作業的服務,以及執行該作業的電腦,而 domain\hissvc 是 hipsvc 的服務帳戶。

這麼做之後,您可以在此服務帳戶的 Active Directory 中設定限制委派 (domain\hissvc) 存取網路中的適當資源。

提供 TCB 權限給 SSO 服務帳戶

  • 在 [ 網域安全性原則-本機原則-使用者權限指派] 下,將 SSO 服務帳戶新增至 [ 作為作業系統 原則的一部分]。

    如需 Kerberos 通訊協定轉換和限制委派的詳細資訊,請造訪 https://go.microsoft.com/fwlink/?LinkId=148816

另請參閱

主控制項初始化的單一登入