创建主机发起的 SSO 的关联应用程序时,默认启用非 Windows 用户的密码验证。 这意味着,当应用程序调用 SSO 以获取 Windows 用户令牌以访问资源时,它们必须提供非 Windows 用户帐户和非 Windows 密码。 如果密码与非 Windows 用户的 SSO 数据库中的密码不匹配,则拒绝访问。 如有必要,可以为关联应用程序禁用密码验证功能。 密码验证功能适用于主机发起的 SSO 的单个和主机组类型关联应用程序。
单个类型主机发起的 SSO 关联应用程序的示例 XML 文件为:
<sso>
<application name="SAP">
<description>The SAP application</description>
<contact>someone@example.com</contact>
<appuserAccount>___domain\AppUserGroupAccount</appuserAccount>
<appAdminAccount>___domain\AppAdminGroupAccount</appAdminAccount>
<field ordinal="0" label="User Id" masked="no" />
<field ordinal="1" label="Password" masked="yes" />
<flags groupApp="no" configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalAccounts="no" timeoutTickets="yes" adminAccountSame="no" enableApp="no" />
</application>
</sso>
对于主机发起的 SSO 的各个应用程序,appUserAccount 是一个组帐户,其中包含具有 1 到 1 映射的 Windows 域帐户用户列表及其相应的非 Windows 帐户。
主机组类型主机发起的 SSO 关联应用程序的示例 XML 文件为:
<sso>
<application name="SAP">
<description>The SAP application</description>
<contact>someone@example.com</contact>
<appuserAccount>___domain\AppUserAccount</appuserAccount>
<appAdminAccount>___domain\AppAdminGroupAccount</appAdminAccount>
<field ordinal="0" label="User Id" masked="no" />
<field ordinal="1" label="Password" masked="yes" />
<flags configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalAccounts="no" timeoutTickets="yes" adminAccountSame="no" enableApp="no" />
</application>
</sso>
在主机发起的 SSO 的组应用程序中,appUserAccount 必须是单个用户帐户。 所有非 Windows 帐户都映射到此帐户。