可以使用 MMC Snap-In 或 createapps 命令创建 XML 文件指定的一个或多个应用程序。 下面是 Windows-Initiated 单一 Sign-On(SSO)的示例 XML 文件:
<sso>
<application name="SAP">
<description>The SAP application</description>
<contact>someone@example.com</contact>
<appuserAccount>___domain\AppUserAccount</appuserAccount>
<appAdminAccount>___domain\AppAdminAccount</appAdminAccount>
<field ordinal="0" label="User Id" masked="no" />
<field ordinal="1" label="Password" masked="yes" />
<flags groupApp="no" configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalAccounts="no" timeoutTickets="yes" adminAccountSame="no" enableApp="no" />
</application>
</sso>
创建关联应用程序后,无法修改以下属性:
关联应用程序的名称。
与会员申请相关的字段。
关联应用程序类型(主机组、个人或配置存储)。
管理帐户与附属管理员组相同。 (指定此标志将始终使用关联管理员组作为此关联应用程序的管理员帐户。
重要
可以通过将 allowLocalAccounts 标志设置为“是”,为管理帐户和用户帐户使用本地帐户。 但是,仅应在单计算机方案中使用此标志。
重要
必须是 SSO 管理员或 SSO 关联管理员才能执行此任务。
注释
如果在域控制器上执行配置,并且创建关联应用程序时为应用程序管理员或应用程序用户指定了域本地范围组,则建议启用本地帐户标志。 为此,请按以下步骤操作:
在 MMC 管理单元中,选择“允许本地帐户在创建过程中访问帐户”。
在命令行中,在 XML 文件中指定 allowLocalAccounts=yes,以便创建关联应用程序。
创建关联应用程序后,必须启用它。 有关详细信息,请参阅 如何启用关联应用程序。
使用Microsoft管理控制台(MMC)Snap-In 创建关联应用程序
单击“ 开始”,指向 “程序”,单击 “Microsoft企业单一登录”,然后单击“ SSO 管理”。
在 ENTSSO MMC 管理单元的范围窗格中,展开 “企业单一登录 ”节点。
右键单击 “关联应用程序”,然后单击“ 新建”。
按照 “新建关联应用程序 ”向导中的说明作。
使用命令行创建联盟应用程序
单击“ 开始”,单击“ 运行”,键入
cmd,然后按 Enter。在命令提示符下,进入 Enterprise Single Sign-On 安装目录。
默认安装目录为 <磁盘>:\Program Files\Common Files\企业单一登录。
键入
ssomanage –createapps <application file name>,其中 <应用程序文件名> 是 XML 文件。