ホスト側開始 SSO の要件を構成する方法
エンタープライズ SSO とホスト側開始 SSO にはある共通点がありますが、特定のプラットフォームおよび Active Directory の要件はホスト側開始 SSO に対して一意です。 このトピックでは、これらの要件について説明し、システムで要件を確認または作成する手順を示します。
ホストによって開始される SSO は、ネイティブ Windows Server 2008 ドメイン環境でのみ実行できます。
ホスト側開始 SSO を実行している SSO サービスのサービス アカウントは、TCB 特権が付与されるように構成する必要があります (これは、ドメイン セキュリティ ポリシーのサービス アカウントに対して構成できます)。
また、ホスト側開始処理にトランザクション インテグレータを使用する場合は、特定の要件が必要です。 HIP の TI は、ホスト側開始 SSO を利用して、Windows 以外のユーザーのシングル サインオンを実現します。
たとえば、HIP サービスの TI のサービス アカウントは、domainname\hipsvc サービス アカウントで実行されます。 このサービスは、Windows 以外のアカウントに対応する Windows アカウントを使用して Windows 上のリモート リソースまたはローカル リソースにアクセスするアプリケーションをホストできます。
domainname\hipsvc アカウントは、シングル サインオンに使用される関連アプリケーションのアプリケーション管理者グループ アカウントに属している必要があります。
domainname\hipsvc アカウントには、ホスト側開始シングル サインオンを使用するための制約付き委任の特権を付与する必要があります。 これは、Active Directory のドメイン管理者が構成できます。 委任は、SPN を登録したアカウントに対して構成できます。 制約付き委任が付与されたサービス アカウントは、管理者が指定するコンポーネントにのみアクセスできます。
ドメインの機能レベルを確認するには
Active Directory ドメインと信頼 MMC スナップインで、ノード [Active Directory ドメインと信頼] を右クリックし、[フォレストの機能レベルを上げる] をクリックします。
機能レベルが Windows Server 2008 であることを確認します。 機能レベルが異なる場合は、設定を変更する前に Active Directory のドキュメントを参照してください。
SPN を作成するには
[スタート] メニューの [ファイル名を指定して実行] をクリックします。
[ 実行 ] ダイアログ ボックスに「 cmd」と入力し、[OK] をクリック します。
コマンド ラインで、エンタープライズ シングル サインオンのインストール ディレクトリに移動します。 既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「setpsn -a hipsvc\computername.domain.com domain\hissvc」と入力します
ここで、hipsvc\computername.domain.com は操作を実行するサービスであり、実行されているコンピューターは domain\hissvc が hipsvc のサービス アカウントです。
この操作後、Active Directory でこのサービス アカウント (domain\hissvc) 用の制約付き委任を、ネットワーク内の適切なリソースにアクセスするように構成できます。
SSO サービス アカウントの TCB 特権を付与するには
[ ドメイン セキュリティ ポリシー - ローカル ポリシー - ユーザー権利の割り当て] で、 オペレーティング システム ポリシーの一部として Act に SSO サービス アカウントを追加します。
Kerberos プロトコルの切り替えと制約付き委任の詳細については、「 Kerberos の制約付き委任オーバービー」を参照してください。