ホストによって開始される SSO の構成要件
Enterprise Single Sign-On (SSO) とホスト側開始 SSO には一般的な側面がありますが、特定のプラットフォームと Active Directory の要件は、ホストによって開始される SSO に固有です。 このトピックでは、これらの要件について説明し、システムで要件を確認または作成する手順を示します。
ホストによって開始される SSO は、ネイティブの Windows Server ドメイン環境でのみ実行できます。
ホストによって開始される SSO を実行している SSO サービスのサービス アカウントは、トラステッド コンピューティング ベース (TCB) 特権を持つよう構成する必要があります。 (これは、ドメイン セキュリティ ポリシーのサービス アカウントに対して構成できます)。
さらに、トランザクション インテグレーターを使用して Host-Initiated 処理 (HIP 用 TI) を使用する場合は、特定の要件が必要です。 TI for HIP では、ホストによって開始される SSO を使用して、Windows 以外のユーザーに対してシングル Sign-On を実現します。
たとえば、HIP サービスの TI のサービス アカウントは、サービス アカウント domainname\hipsvc で実行されます。 このサービスは、Windows 以外のアカウントに対応する Windows アカウントを使用して、Windows 上のリモートまたはローカル リソースにアクセスするアプリケーションをホストできます。
domainname\hipsvc アカウントは、シングル サインオンに使用されている関連アプリケーションのアプリケーション管理者グループ アカウントに属している必要があります。
domainname\hipsvc アカウントには、ホストによって開始されるシングル サインオンを使用するための制約付き委任特権が必要です。 これは、Active Directory のドメイン管理者が構成できます。 委任は、サービス プリンシパル名 (SPN) が登録されているアカウントに対して構成できます。 制約付き委任が付与されたサービス アカウントは、管理者が指定するコンポーネントにのみアクセスできます。
ドメインの機能レベルを確認するには
Active Directory ドメインと信頼 Microsoft 管理コンソール (MMC) スナップインで、[Active Directory ドメインと信頼] ノードを右クリックし、[フォレストの機能レベルを上げる] をクリックします。
機能レベルが Windows Server 2003 であることを確認します。 機能レベルが異なる場合は、設定を変更する前に Active Directory のドキュメントを参照してください。
SPN を作成するには
次の場所から setspn ユーティリティをダウンロードします。 リンク
[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「
cmd」と入力して、[OK] をクリックします。コマンド プロンプトで、Enterprise Single Sign-On インストール ディレクトリに移動します。
既定値は <drive>:\Program Files\Common Files\Enterprise シングル サインオンです。
「
setpsn -a hipsvc\computername.domain.com domain\hissvc」と入力しますここで、hipsvc\computername.domain.com は操作を実行するサービスであり、実行されているコンピューターは domain\hissvc であり、domain\hissvc は hipsvc のサービス アカウントです。
これを行った後、ネットワーク内の適切なリソースにアクセスするために、このサービス アカウント (domain\hissvc) の Active Directory で制約付き委任を構成できます。
SSO サービス アカウントの TCB 特権を付与するには
[ ドメイン セキュリティ ポリシー - ローカル ポリシー - ユーザー権利の割り当て] で、 オペレーティング システム ポリシーの一部として SSO サービス アカウントを Act に追加します。
詳細については、「 Kerberos プロトコルの移行」と「制約付き委任」を参照してください。