SSO 关联应用程序
企业单一 Sign-On (SSO) 关联应用程序是表示使用 SSO 连接的系统或子系统(例如主机、后端系统或业务线应用程序)的逻辑实体。 关联应用程序可以表示诸如大型机或 UNIX 计算机之类的后端系统。 它还可以表示应用程序(如 SAP)或系统分支(如“福利待遇”子系统或“付款存根”子系统)。
当 SSO 管理员或 SSO 关联管理员定义关联应用程序时,他们还必须确定谁将 (应用程序管理员) 管理关联应用程序,关联应用程序的用户 (应用程序用户) ,以及 SSO 系统将使用哪些参数来验证此关联应用程序的用户 (用户 ID, 密码、PIN 等) 。 有关应用程序管理员和应用程序用户的详细信息,请参阅 企业单一 Sign-On 用户组。
关联应用程序类型
企业 SSO 定义了几种不同的应用程序类型。 不同的应用程序类型支持 Windows 帐户与非 Windows 系统中帐户之间不同类型的映射。
应用程序类型如下所示:
个人 单个应用程序支持 Windows 帐户与非 Windows 帐户之间的一对一映射。 在“单项”类型的应用程序中,一个 Windows 帐户只映射到一个非 Windows 帐户。 为此应用程序设置的标志决定了可按哪个方向使用该映射,即从 Windows 帐户到非 Windows 帐户或从非 Windows 帐户到 Windows 帐户,或者同时双向使用该映射。 因此,单个应用程序可用于 Windows 发起的 SSO 和/或主机发起的 SSO。
组 组应用程序支持在一个 Windows 组与单个非 Windows 帐户之间进行映射。 使用 Application Users 帐户可以定义将用于此“组”应用程序的 Windows 组。 只能为“组”应用程序定义一个映射,并且该映射必须是 Windows 组与此 Windows 组的所有成员将用于访问非 Windows 系统的单个非 Windows 帐户之间的映射。 组应用程序只能用于 Windows 发起的 SSO。
主机组 主机组应用程序在概念上与组应用程序相反。 “主机组”应用程序支持定义的一组非 Windows 帐户到单个 Windows 帐户之间的映射。 这些非 Windows 帐户使用的单个 Windows 帐户是由该应用程序的 Application Users 帐户定义的。 通过为每个非 Windows 帐户创建映射可定义允许访问此应用程序的非 Windows 帐户组。 主机组应用程序只能用于主机发起的 SSO。
设计关联应用程序
在创建关联应用程序之前,SSO 关联管理员或 SSO 管理员必须做出以下决定:
此关联应用程序将表示什么? 必须知道关联应用程序将在 SSO 系统中表示的非 Windows 应用程序。 例如:
应用程序名称:APP1
说明:支付存根部门应用程序
联系: administrator@companyname.com
谁将管理此关联应用程序? 必须确定此关联应用程序的管理员是谁。 这些构成此关联应用程序的 Windows 管理员组;例如,Domain\APP1AdminGroup。
谁将使用此关联应用程序? 必须确定此关联应用程序的最终用户。 这些用户表示此关联应用程序的 Windows 用户组;例如,Domain\DomainUsers。 对于付款存根的应用程序,您可能希望所有用户都能访问其付款存根信息,因此可将域用户组指定为此应用程序的用户组。
关联应用程序使用什么凭据来验证其用户? 不同的应用程序使用不同的凭据对用户进行身份验证。 例如,某些应用程序可能会使用用户 ID、密码、PIN 或这些 ID 的组合。 还必须确定系统是否需要在用户提供这些凭据时将凭据屏蔽。
要为此关联应用程序使用单项映射还是组映射? 是否每个 Windows 用户在后端系统中都具有相应的帐户,或者后端系统具有一个用于所有 Windows 用户的帐户? 对于工资存根系统,每个用户都有一个帐户来访问单独的工资存根信息,你需要使用单独的映射。
创建关联应用程序后,将无法修改以下属性:
关联应用程序的名称。
与关联应用程序关联的字段。
关联应用程序类型 (主机组、个人或配置存储) 。
与 Affiliate Administrators 组相同的管理帐户。 (如果选择此属性,则关联管理员组将用作此关联应用程序的应用程序管理员帐户。)
关联应用程序属性
下表列出了必须为创建的每个关联应用程序定义的属性。
| 属性 | 说明 |
|---|---|
| 应用程序名称 | 关联应用程序的名称。 在创建关联应用程序后不能更改此属性。 |
| 说明 | 关联应用程序的简短说明。 |
| 联系人 | 用户可以联系的此关联应用程序的主要联系人。 (可以是电子邮件地址。) |
| appUserAccount | 包含将使用此关联应用程序的最终用户的用户帐户的 Windows 组。 |
| appAdminAccount | Windows 组,包含将管理此关联应用程序的管理员帐户。 注意: 如果将 adminAccountSame 设置为“是”,则无需定义此属性。 |
| 应用程序标志 | 说明 |
|---|---|
| enableApp | 此关联应用程序的状态。 |
| groupApp | 确定此应用程序是使用组映射 (是) ,还是使用单个映射 (否) 。 在创建应用程序后不能更改此属性。 |
| configStoreApp | 确定此关联应用程序是否为配置存储类型应用程序, (是) 。 在创建应用程序后不能更改此属性。 |
| hostInitiatedSSO | 如果它是主机发起的 SSO 类型应用程序,请启用此功能。 默认值为“否”。 |
| windowsInitiatedSSO | 如果关联应用程序为 Windows 启动的 SSO 类型应用程序,则启用此项。 默认值为“是”。 |
| validatePassword | 这仅适用于主机发起的 SSO 应用程序。 当应用程序尝试检索凭据时,它必须在凭据数据库中提供密码,该密码用于 SSO 服务进行验证。 默认值为“是”。 |
| disableCredCache | SSO 服务器将凭据存储在缓存中以加快访问速度。 默认值为“否”。 |
| allowTickets | 确定 SSO 系统是否对此关联应用程序使用票证。 注意: 必须是 SSO 管理员才能设置此标志。 |
| validateTickets | 确定 SSO 系统是否在用户兑换票证时验证这些票证。 注意: 必须是 SSO 管理员才能设置此标志。 |
| appTicketTimeOut | 指定特定于关联应用程序的票证超时。 仅当更新关联应用程序时,不能在创建关联应用程序时设置此设置。 如果为此应用程序启用了票证,但此属性未启用,则使用 SSO System (Global) 级别指定的超时。 注意: 必须是 SSO 管理员才能设置此标志。 |
| timeoutTickets | 确定票证是否有过期时间。 默认值为“否”。 注意: 必须是 SSO 管理员才能设置此标志。 |
| allowLocalAccounts | 确定是否允许在 SSO 系统中使用本地组和帐户。 在单机情况下,只能将此标志配置为“是”。 |
| adminAccountSame | 确定是否使用 SSO Affiliate Administrator 组作为 Application Administrator 组。 在创建应用程序后不能更改此属性。 注意: 必须是 SSO 管理员才能设置此标志。 |
| 应用程序字段 | 说明 | 说明 |
|---|---|---|
| 字段 [0] | <凭据>:已屏蔽/取消掩码 | 确定最终用户为连接到关联应用程序而必须提供的凭据类型 (用户 ID、密码、智能卡) ,以及此凭据是否 (掩码,即用户键入的字符是否显示在屏幕上) 。 可以输入与关联应用程序凭据数相同数量的字段,但第一个字段必须为用户 ID。 在创建应用程序后不能更改此属性。 |