호스트에서 시작한 SSO에 대한 요구 사항 구성 방법
Enterprise SSO 및 호스트에서 시작한 SSO에 공통되는 면도 있지만 일부 플랫폼 및 Active Directory 요구 사항은 호스트에서 시작한 SSO에 고유하게 적용됩니다. 이 항목에서는 그러한 요구 사항에 대해 논의하고 시스템에서 요구 사항을 확인하거나 만드는 단계를 설명합니다.
호스트에서 시작한 SSO는 네이티브 Windows Server 2008 도메인 환경에서만 실행할 수 있습니다.
호스트에서 시작한 SSO를 수행하는 SSO 서비스에 대한 서비스 계정은 TCB 권한이 포함되도록 구성해야 합니다. 도메인 보안 정책의 서비스 계정에 대해 구성할 수 있습니다.
또한 HIP(호스트에서 시작한 처리)에 대해 Transaction Integrator를 사용하는 경우에는 특정 요구 사항이 필요합니다. HIP용 TI는 비 Windows 사용자에 대해 Single Sign-On을 사용하기 위해 호스트에서 시작한 SSO를 활용합니다.
예를 들어 HIP 서비스용 TI의 서비스 계정은 서비스 계정 domainname\hipsvc 아래에서 실행됩니다. 이 서비스는 비 Windows 계정에 해당되는 Windows 계정을 사용하여 Windows의 원격 또는 로컬 리소스에 액세스하는 응용 프로그램을 호스트할 수 있습니다.
domainname\hipsvc 계정은 Single Sign-On에 사용할 관련 응용 프로그램의 응용 프로그램 관리자 그룹 계정에 속해야 합니다.
domainname\hipsvc 계정에는 호스트에서 시작한 Single Sign-On의 호스팅에 사용하기 위한 제한된 위임 권한이 있어야 합니다. 이 권한은 도메인 관리자가 Active Directory에서 구성할 수 있습니다. 등록된 SPN이 있는 계정에 대해 위임을 구성할 수 있습니다. 제한된 위임이 있는 서비스 계정을 사용하면 관리자가 지정한 구성 요소에만 액세스할 수 있습니다.
도메인 기능 수준을 확인하려면
Active Directory 도메인 및 트러스트 MMC 스냅인에서 노드 Active Directory 도메인 및 트러스트를 마우스 오른쪽 단추로 클릭한 다음 포리스트 기능 수준 올리기를 클릭합니다.
기능 수준이 Windows Server 2008인지 확인합니다. 다른 설정이면 Active Directory 설명서를 참조하여 설정을 변경합니다.
SPN을 만들려면
시작 메뉴에서 실행을 클릭합니다.
실행 대화 상자에서 cmd를 입력한 다음 확인을 클릭합니다.
명령줄에서 Enterprise Single Sign-On 설치 디렉터리로 이동합니다. 기본값은 drive>:\Program Files\Common Files\Enterprise Single Sign-On입니다<.
type setpsn -a hipsvc\computername.domain.com domain\hissvc
여기서 hipsvc\computername.domain.com 작업을 수행하고 실행되는 컴퓨터이며 domain\hissvc 는 hipsvc의 서비스 계정입니다.
이제는 이 서비스 계정(domain\hissvc)을 사용하여 네트워크의 적절한 리소스에 액세스하도록 Active Directory에서 제한된 위임을 구성할 수 있습니다.
SSO 서비스 계정에 TCB 권한을 제공하려면
도메인 보안 정책 - 로컬 정책 - 사용자 권한 할당에서 운영 체제 정책의 일부로 Act에 SSO 서비스 계정을 추가합니다.
Kerberos 프로토콜 전환 및 제한된 위임에 대한 자세한 내용은 Kerberos 제한된 위임 오버비로 이동합니다.