Compartir vía

Cómo configurar requisitos para SSO iniciado por host

  • Artículo

Si bien SSO empresarial y SSO iniciado por host tiene determinados aspectos en común, algunos requisitos de plataforma y Active Directory son únicos de SSO iniciado por host. Este tema trata esos requisitos y enumera los pasos para comprobarlos o crearlos en el sistema.

  • SSO iniciado por host se puede ejecutar solo en un entorno de dominio de Windows Server 2008 nativo.

  • La cuenta de servicio SSO que lleva a cabo SSO iniciado por host debe estar configurada con privilegios TCB. Puede configurar esto para la cuenta de servicio en la directiva de seguridad del dominio.

    Además, son necesarios determinados requisitos cuando se usa Transaction Integrator para el procesamiento iniciado por host. TI for HIP aprovecha SSO iniciado por host para lograr inicio de sesión único para usuarios que no son de Windows.

    Por ejemplo, la cuenta de servicio de TI for HIP se ejecuta con una cuenta de dominio domainname\hipsvc. Este servicio puede alojar aplicaciones que desean obtener acceso a recursos remotos o locales en Windows con la cuenta de Windows que corresponde a la cuenta que no es de Windows.

    La cuenta domainname\hipsvc debe pertenecer a la cuenta del grupo de administradores de aplicación para la aplicación afiliada que se usa para el inicio de sesión único.

    La cuenta domainname\hipsvc debe tener privilegios de delegación restringida para usar el inicio de sesión único iniciado por host. Esto lo puede configurar el administrador del dominio en Active Directory. Se puede configurar delegación para las cuentas que tienen SPN registrados. La delegación restringida permite a la cuenta de servicio obtener acceso sólo a los componentes que especifica el administrador.

Para comprobar su nivel funcional del dominio

  1. En el complemento MMC Dominios y confianzas de Active Directory , haga clic con el botón derecho en el nodo Dominios y confianzas de Active Directory y, a continuación, haga clic en Elevar nivel funcional del bosque.

  2. Compruebe que el nivel funcional es Windows Server 2008. Si no es así, consulte la documentación de Active Directory antes de intentar cambiar esta configuración.

Para crear un SPN

  1. En el menú Inicio , haga clic en Ejecutar.

  2. En el cuadro de diálogo Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar.

  3. En la línea de comandos, vaya al directorio de instalación de inicio de sesión único empresarial. El valor predeterminado es <drive>:\Program Files\Common Files\Enterprise Single Sign-On.

  4. Escriba setpsn -a hipsvc\computername.domain.com domain\hissvc

    donde hipsvc\computername.domain.com es el servicio que realizará la operación y el equipo en el que se ejecuta, y domain\hissvc es la cuenta de servicio de hipsvc.

    Tras hacer esto, puede configurar la delegación restringida en Active Directory para que esta cuenta de servicio (domain\hissvc) tenga acceso al recurso correspondiente en la red.

Para conceder a TCB privilegios para la cuenta de servicio SSO

En la directiva de seguridad de dominio: directivas locales: asignación de derechos de usuario, agregue la cuenta de servicio de SSO a La acción como parte de la directiva del sistema operativo .

Para obtener más información sobre la transición del protocolo Kerberos y la delegación restringida, vaya a Kerberos Constrained Delegation Overvie (Sobrevie de delegación restringida de Kerberos).

Consulte también

SSO iniciado por host