SSO 票证
在企业环境中,用户需要与各种各样的系统和应用程序进行交互,很可能会出现环境不通过多个进程、产品和计算机维护用户上下文的情况。 此用户上下文对于提供单一登录功能至关重要,因为必须验证发起原始请求的人员。 为了解决此问题,企业单一 Sign-On (SSO) 提供了 SSO 票证 (而不是 Kerberos 票证) ,应用程序可以使用该票证获取与发出原始请求的用户对应的凭据。 默认情况下,不启用 SSO 票证。 有关启用票证的详细信息,请参阅 如何配置企业单 Sign-On 票证。
当经过验证的 Windows 用户发出请求时,SSO 系统将颁发票证。 SSO 系统只能为发出请求的用户颁发票证, (不能为) 其他用户请求票证。 票证包含当前用户的加密域和用户名,以及票证过期时间。 SSO 系统发出票证后,票证默认会在两分钟内过期。 SSO 管理员可以修改票证的到期时间。 有关详细信息, 请参阅如何配置企业单一 Sign-On 票证。
在应用程序验证原始请求者的身份后,应用程序将兑换票证,以获取发起关联应用程序请求的用户的凭据。 应用程序可以通过以下三种方式之一从 SSO 系统兑换票证:
只兑换。 当应用程序发起兑换票证的请求时,该请求必须包含要连接到的关联应用程序的名称以及票证本身。 只有特定关联应用程序的应用程序管理员、SSO 关联管理员或 SSO 管理员才能够兑换票证。 仅当颁发票证的应用程序与兑换票证的应用程序之间存在受信任的子系统时,才应使用 “兑换 ”。 只有指定关联应用程序的应用程序管理员才能够为用户兑换票证。
验证并兑换。 票证包含 SSO 系统为其执行凭据查找的用户的有关信息。 在这种情况下,在系统兑换票证之前,SSO 服务将验证原始消息的发件人和票证的用户是否相同。
SSO 管理员可以基于每个关联应用程序禁用票证超时。 但是,不建议这样做,因为此应用程序的票证永远不会过期。 在需要禁用票证超时的情况下,请确保在 SSO 系统向 SSO 票证兑换票证的适配器的前端之间维护一个安全的端到端受信任子系统。
SSO 关联管理员可指定允许票证,并指定需要基于每个关联应用程序进行票证验证。 不过,如果 SSO 管理员在 SSO 系统级别上指定需要对票证进行验证,则 SSO 关联管理员将不能在关联应用程序级别上禁用此选项。
重要
使用 SSO 票证时,必须确保票证超时值足够长,足以在票证颁发到兑换票证的时间之间持续。