如何配置主机启动的 SSO 的要求
尽管企业 SSO 和主机启动的 SSO 在某些方面有相同之处,但对于主机启动的 SSO,某些平台和 Active Directory 要求是其所独有的。 本主题将介绍这些要求,并列出在系统中检查或创建这些要求所需的步骤。
主机启动的 SSO 只能在本地 Windows Server 2008 域环境中执行。
必须将执行主机启动的 SSO 的 SSO 服务帐户配置为具有 TCB 权限。 (可在域安全策略中为服务帐户配置此权限。)
此外,在对主机启动的处理使用事务集成器时,必须满足某些要求。 HIP 的 TI 利用主机启动的 SSO 为非 Windows 用户实现单一登录。
例如,HIP 服务的 TI 的服务帐户在服务帐户 domainname\hipsvc 下运行。 此服务可承载要使用与非 Windows 帐户对应的 Windows 帐户访问 Windows 中远程或本地资源的应用程序。
domainname\hipsvc 帐户必须属于用于单一登录的关联应用程序的 Application Administrator 组帐户。
domainname\hipsvc 帐户必须具有约束委托权限才能使用主机启动的单一登录。 此权限可由 Active Directory 中的域管理员进行配置。 可以为已注册 SPN 的帐户配置委托。 使用约束委托,服务帐户可以只访问管理员指定的组件。
检查域功能级别
在 Active Directory 域和信任 MMC 管理单元中,右键单击节点 “Active Directory 域和信任”,然后单击“ 提高林功能级别”。
验证功能级别是否为 Windows Server 2008。 如果不是,请参阅 Active Directory 文档,然后尝试更改该设置。
创建 SPN
在 “开始” 菜单上,单击 “运行” 。
在“ 运行 ”对话框中,键入 cmd,然后单击“ 确定”。
在命令行上,转至企业单一登录安装目录。 默认值为 <drive>:\Program Files\Common Files\Enterprise 单一登录。
类型 setpsn -a hipsvc\computername.domain.com domain\hissvc
其中 hipsvc\computername.domain.com 是将执行操作的服务以及运行它的计算机, 而 domain\hissvc 是 hipsvc 的服务帐户。
在执行此操作后,可以在 Active Directory 中为此服务帐户 (domain\hissvc) 配置约束委托以访问网络中的相应资源。
为 SSO 服务帐户授予 TCB 权限
在 域安全策略 - 本地策略 - 用户权限分配下,将 SSO 服务帐户添加到 Act 作为操作系统策略的一部分 。
有关 Kerberos 协议转换和约束委派的详细信息,请转到 Kerberos 约束委派 Overvie。