SSO 分支機構應用程式
Enterprise Single Sign-On (SSO) 聯盟應用程式是邏輯實體,代表系統或子系統,例如主機、後端系統或您使用 SSO 連線的企業營運應用程式。 分支機構應用程式代表後端系統,如大型主機或 UNIX 電腦。 它也可以代表應用程式 (如 SAP),或系統的子部分 (如 Benefits 或 Pay stub 子系統)。
當 SSO 系統管理員或 SSO 聯盟系統管理員定義聯盟應用程式時,他們也必須決定誰將管理聯盟應用程式 (應用程式管理員) 、聯盟應用程式的使用者 (應用程式使用者) ,以及 SSO 系統將用來驗證此聯盟應用程式的使用者 (使用者識別碼的參數。 密碼、PIN 等等) 。 如需應用程式系統管理員和應用程式使用者的詳細資訊,請參閱 企業單一 Sign-On 使用者群組。
分支機構應用程式類型
企業 SSO 定義數個不同的應用程式類型。 不同的應用程式類型支援 Windows 帳戶和非 Windows 系統帳戶之間不同的對應類型。
應用程式類型如下所示:
個人 個別應用程式支援 Windows 帳戶與非 Windows 帳戶之間的一對一對應。 在 [個別] 類型應用程式中,一個 Windows 帳戶對應到一個 (僅一個) 非 Windows 帳戶。 此對應可用於任一方向,從 Windows 到非 Windows、從非 Windows 到 Windows 或兩者,根據為此應用程式所設定的旗標而定。 因此,個別應用程式可用於 Windows 起始的 SSO、主機起始的 SSO 或兩者。
組 群組應用程式支援一個 Windows 群組與一個非 Windows 帳戶之間的對應。 「應用程式使用者」帳戶用來定義將用於此 [群組] 應用程式的 Windows 群組。 [群組] 應用程式僅能定義一個對應,且該對應必須位於 Windows 群組與將由該 Windows 群組的所有成員用來存取非 Windows 系統的單一非 Windows 帳戶之間。 群組應用程式只能用於 Windows 起始的 SSO。
主機群組 主機群組應用程式在概念上是群組應用程式的反向。 它們支援非 Windows 帳戶的已定義群組與單一 Windows 帳戶之間的對應。 將由非 Windows 帳戶使用的單一 Windows 帳戶,是由此應用程式的「應用程式使用者」帳戶所定義。 被允許存取此應用程式的非 Windows 帳戶群組,是透過為每個非 Windows 帳戶建立對應的方式來定義。 主機群組應用程式只能用於主機起始的 SSO。
設計分支機構應用程式
建立聯盟應用程式之前,SSO 聯盟系統管理員或 SSO 系統管理員必須做出下列決策:
此分支機構應用程式代表什麼? 您必須知道聯盟應用程式將在 SSO 系統中代表的非 Windows 應用程式。 例如:
應用程式名稱:APP1
描述:Pay stub 部門的應用程式
聯繫: administrator@companyname.com
誰將管理此分支機構應用程式? 您必須判斷系統管理員為此聯盟應用程式的人員。 這些表單為此聯盟應用程式的 Windows 系統管理員群組;例如,Domain\APP1AdminGroup。
誰將使用此分支機構應用程式? 您必須判斷終端使用者對此聯盟應用程式是誰。 這些使用者代表此分支機構應用程式的 Windows 使用者群組,例如,Domain\DomainUsers。 在 Pay stub 應用程式的範例中,您可能想讓所有的使用者存取他們的 pay stub 資訊,所以您可以將網域使用者群組指定為此應用程式的使用者群組。
分支機構應用程式使用何種認證來驗證其使用者? 不同的應用程式會使用不同的認證來驗證使用者。 例如,某些應用程式可能會使用使用者識別碼、密碼、PIN 或這些識別碼的組合。 您也必須決定系統是否需要在使用者提供這些認證時加上遮罩。
您將對此分支機構應用程式使用個別對應或群組對應? 每個 Windows 使用者在後端系統都有帳戶?或是後端系統有一個帳戶供所有 Windows 使用者使用? 在支付存根系統中,每個使用者都有一個帳戶可存取個別付款存根資訊,而且您必須使用個別對應。
建立分支機構應用程式後,無法修改以下屬性:
分支機構應用程式的名稱。
與聯盟應用程式相關聯的欄位。
聯盟應用程式類型 (主機群組、個別或組態存放區) 。
與分支機構系統管理員群組相同的管理帳戶。 (如果您選取此屬性,聯盟系統管理員群組會作為此聯盟應用程式的應用程式系統管理員帳戶使用。)
分支機構應用程式屬性
下表列出您必須為您所建立的每個聯盟應用程式定義的屬性。
| 屬性 | 描述 |
|---|---|
| 應用程式名稱 | 分支機構應用程式的名稱。 在您建立分支機構應用程式之後,不能變更此屬性。 |
| Description | 分支機構應用程式的簡短說明。 |
| 連絡資訊 | 使用者可使用的此分支機構應用程式之主要連絡資訊。 (可能為電子郵件地址。) |
| appUserAccount | 包含將使用此聯盟應用程式的終端使用者使用者帳戶的 Windows 群組。 |
| appAdminAccount | 包含系統管理員帳戶的 Windows 群組,這些系統管理員將管理此分支機構應用程式。 注意: 如果您將 adminAccountSame 設定為 [是],則不需要定義此屬性。 |
| 應用程式旗標 | Description |
|---|---|
| enableApp | 此分支機構應用程式的狀態。 |
| groupApp | 判斷此應用程式是否使用群組對應 ([是]) 或個別的對應 ([否]) 。 建立應用程式後就無法變更此屬性。 |
| configStoreApp | 判斷此聯盟應用程式是否為組態存放區類型應用程式, ([是]) 。 建立應用程式後就無法變更此屬性。 |
| hostInitiatedSSO | 如果是主機起始的 SSO 類型應用程式,請啟用此功能。 預設值為 [否]。 |
| windowsInitiatedSSO | 若為 Windows 初始化的 SSO 類型應用程式,則啟用此項。 預設值為 [是]。 |
| validatePassword | 這僅適用于主機起始的 SSO 應用程式。 當應用程式嘗試擷取認證時,它必須在認證資料庫中提供密碼,以供 SSO 服務進行驗證。 預設值為 [是]。 |
| disableCredCache | SSO 伺服器儲存快取中的認證以加速存取。 預設值為 [否]。 |
| allowTickets | 決定 SSO 系統是否使用此分支機構應用程式的票證。 注意: 您必須是 SSO 系統管理員,才能設定此旗標。 |
| validateTickets | 決定 SSO 系統在使用者贖回票證時是否驗證票證。 注意: 您必須是 SSO 系統管理員,才能設定此旗標。 |
| appTicketTimeOut | 指定分支機構應用程式特定的票證逾時。 只有在更新分支機搆應用程式時,才能設定此專案,而不是在建立它時設定。 若此應用程式已啟用票證,但此屬性尚未啟用,則會使用在 SSO 系統 (全域) 層級所指定的逾時。 注意: 您必須是 SSO 系統管理員,才能設定此旗標。 |
| timeoutTickets | 決定票證是否有到期時間。 預設值為 [否]。 注意: 您必須是 SSO 系統管理員,才能設定此旗標。 |
| allowLocalAccounts | 判斷您是否允許在 SSO 系統中使用本機群組和帳戶。 若只有單一電腦,此旗標只能設定為 [是]。 |
| adminAccountSame | 決定是否將 SSO 分支機構系統管理員群組做為應用程式系統管理員群組。 建立應用程式後就無法變更此屬性。 注意: 您必須是 SSO 系統管理員,才能設定此旗標。 |
| 應用程式欄位 | 描述 | 描述 |
|---|---|---|
| 欄位 [0] | <認證> :遮罩/未遮罩 | 決定使用者必須提供以連線至分支機搆應用程式之認證 (使用者識別碼、密碼、智慧卡) 類型,以及此認證是否遮罩 (也就是使用者輸入的字元是否顯示在畫面上) 。 分支機構應用程式有多少個認證就可以輸入相同數目的欄位,但第一個欄位必須是使用者識別碼。 建立應用程式後就無法變更此屬性。 |