尽管企业 SSO 和主机发起的 SSO 具有一些共同点,但某些平台和 Active Directory 要求对于托管发起的 SSO 是唯一的。 本主题讨论这些要求,并列出在系统上检查或创建这些要求的步骤。
主机发起的 SSO 只能在本机 Windows Server 2008 域环境中执行。
执行主机发起的 SSO 服务的 SSO 服务帐户必须配置为具有 TCB 权限。 (可以在域安全策略中为服务帐户配置此项。
此外,在使用事务集成器进行主机启动处理时,需要满足某些要求。 TI for HIP 利用主机发起的 SSO 来实现非 Windows 用户的单 Sign-On。
例如,HIP 服务的 TI 服务帐户在服务帐户 domainname\hipsvc 下运行。 此服务可以使用与非 Windows 帐户对应的 Windows 帐户托管要访问 Windows 上的远程或本地资源的应用程序。
domainname\hipsvc 帐户必须属于用于单一登录的关联应用程序的应用程序管理员组帐户。
domainname\hipsvc 帐户必须具有受限的委派权限才能使用主机发起的单一登录。 这可由 Active Directory 中的域管理员配置。 可以为已注册 SPN 的帐户配置委派。 约束委派允许服务帐户仅访问由管理员指定的组件。
检查域功能级别
在 Active Directory 域和信任 MMC 管理单元中,右键单击节点 Active Directory 域和信任,然后单击“ 提升林功能级别”。
验证功能级别是否为 Windows Server 2008。 如果不是,请在尝试更改设置之前参考 Active Directory 文档。
创建 SPN
在 “开始” 菜单上,单击 “运行” 。
在 “运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令提示符中,转到 Enterprise Single Sign-On 安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
类型 setpsn -a hipsvc\computername.___domain.com ___domain\hissvc
其中 hipsvc\computername.___domain.com 是执行操作的服务及其运行的计算机,___domain\hissvc 是 hipsvc 的服务账户。
执行此作后,可以在 Active Directory 中为此服务帐户(___domain\hissvc)配置约束委派,以访问网络中的适当资源。
为 SSO 服务帐户授予 TCB 权限
在 域安全策略 - 本地策略 - 用户权限分配下,将 SSO 服务帐户添加到 作为操作系统的一部分策略。
有关 Kerberos 协议转换和约束委派的详细信息,请转到 Kerberos 约束委派概述。