Configuration des conditions requises pour l'authentification unique initiée par l'hôte
L'authentification unique de l'entreprise et l'authentification unique initiée par l'hôte ont plusieurs aspects en commun. Toutefois, certaines conditions requises concernant la plateforme et Active Directory restent uniques à l'authentification unique initiée par l'hôte. Cette rubrique présente la configuration requise et répertorie les étapes permettant de la créer ou de la vérifier sur votre système.
L'exécution de l'authentification unique initiée par l'hôte est uniquement prise en charge sur un environnement de domaine Windows Server 2008 natif.
Le compte de service pour le service SSO qui effectue l'authentification unique initiée par l'hôte doit être configuré de manière à disposer des privilèges TCB (Trusted Computing Base). (Vous pouvez configurer ces paramètres pour le compte de service dans la stratégie de sécurité du domaine.)
En outre, certaines conditions sont obligatoires lors de l'utilisation de l'intégrateur de transactions pour le traitement initié par l'hôte. Il exploite l'authentification unique initiée par l'hôte dans le but de mettre en place l'authentification unique pour des utilisateurs non-Windows.
Par exemple, le compte de service associé à l'intégrateur de transactions pour le traitement initié par l'hôte est exécuté sous un compte de service nom_domaine\hipsvc. Ce service peut héberger des applications qui doivent accéder à des ressources Windows locales ou distantes par l'intermédiaire du compte Windows correspondant au compte non-Windows.
Le compte nom_domaine\hipsvc doit appartenir au compte de groupe Administrateurs d'application pour l'application associée qui est utilisée pour l'authentification unique.
Le compte nom_domaine\hipsvc doit disposer de privilèges de délégation contrainte afin d'utiliser l'authentification unique initiée par l'hôte. Cette opération incombe à l'administrateur de domaine dans Active Directory. La délégation peut être configurée pour les comptes disposant de noms principaux de service enregistrés. La délégation contrainte autorise le compte de service à accéder uniquement aux composants spécifiés par l'administrateur.
Pour vérifier le niveau fonctionnel du domaine
Dans votre composant logiciel enfichable MMC Domaines et approbations Active Directory , cliquez avec le bouton droit sur le nœud Domaines et approbations Active Directory, puis cliquez sur Augmenter le niveau fonctionnel de la forêt.
Vérifiez que le niveau fonctionnel est Windows Server 2008. Si ce n'est pas le cas, consultez la documentation de Active Directory avant de tenter de modifier ce paramètre.
Pour créer un nom principal de service (SPN)
Dans le menu Démarrer , cliquez sur Exécuter.
Dans la boîte de dialogue Exécuter , tapez cmd, puis cliquez sur OK.
Dans la ligne de commande, accédez au répertoire d'installation de l'authentification unique de l'entreprise. La valeur par défaut est <drive> :\Program Files\Common Files\Enterprise Single Sign-On.
Type setpsn -a hipsvc\computername.domain.com domain\hissvc
où hipsvc\computername.domain.com est le service qui effectuera l’opération et l’ordinateur sur lequel il s’exécute, et domain\hissvc est le compte de service pour hipsvc.
Après avoir effectué cette opération, vous pouvez configurer la délégation contrainte dans Active Directory pour ce compte de service (domain\hissvc) afin d'accéder aux ressources appropriées sur le réseau.
Pour octroyer les privilèges TCB pour le compte de service de l'authentification unique
Sous votre stratégie de sécurité du domaine - Stratégies locales - Attribution des droits utilisateur, ajoutez le compte de service d’authentification unique à Act dans le cadre de la stratégie du système d’exploitation .
Pour plus d’informations sur la transition de protocole Kerberos et la délégation contrainte, accédez à Dépassement de délégation contrainte Kerberos.