主機起始 SSO 的設定需求
雖然 Enterprise Single Sign-On (SSO) 和主機起始的 SSO 有一些共通層面,但某些平臺和 Active Directory 需求對主機起始的 SSO 而言是唯一的。 本主題將討論這些需求,並列出在系統上檢查或建立它們的步驟。
主機起始的 SSO 只能在原生 Windows Server 網域環境中執行。
執行主機起始 SSO 之 SSO 服務的服務帳戶必須設定為具有信任運算基底 (TCB) 許可權。 (您可以為網域安全性原則中的服務帳戶來設定此項。)
此外,針對 HIP) 使用交易整合器來處理 Host-Initiated (TI 時,需要某些需求。 TI for HIP 使用主機起始的 SSO,為非 Windows 使用者達成單一 Sign-On。
例如,適用于 HIP 服務之 TI 的服務帳戶會在服務帳戶 domainname\hipsvc下執行。 此服務可以裝載想要在 Windows 上使用對應至非 Windows 帳戶的 Windows 帳戶存取遠端或本機資源的應用程式。
domainname\hipsvc帳戶必須屬於用於單一登入之聯盟應用程式的應用程式管理員群群組帳戶。
domainname\hipsvc帳戶必須具有限制委派許可權,才能使用主機起始的單一登入。 這可由 Active Directory 中的網域管理員來設定。 您可以針對已註冊服務主體名稱的帳戶設定委派, (SPN) 。 約束委派可讓服務帳戶只能存取由系統管理員所指定的元件。
檢查網域功能層級
在 Active Directory 網域和信任 Microsoft Management Console (MMC) 嵌入式管理單元中,以滑鼠右鍵按一下 [Active Directory 網域和信任 ] 節點,然後按一下 [ 提高樹系功能等級]。
確認功能等級為 Windows Server 2003。 若不是,請參閱 Active Directory 文件,再嘗試變更設定。
建立 SPN
從下列位置下載 setpn 公用程式: Link
按一下 [開始],按一下 [ 執行],輸入
cmd,然後按一下 [ 確定]。在命令提示字元中,移至企業單一 Sign-On 安裝目錄。
預設值為 < drive > :\Program Files\Common Files\Enterprise 單一登入。
輸入
setpsn -a hipsvc\computername.domain.com domain\hissvc其中 hipsvc\computername.domain.com 是將執行作業且其執行所在的電腦,而 domain\hissvc 是 hipsvc 的服務帳戶。
執行此動作之後,您可以在 Active Directory 中為此服務帳戶設定限制委派, (domain\hissvc) 存取網路中的適當資源。
提供 TCB 權限給 SSO 服務帳戶
在 [網域安全性原則 - 本機原則 - 使用者權限指派] 下,將 SSO 服務帳戶新增至 作為作業系統原則的一部分 。
如需詳細資訊,請參閱 Kerberos 通訊協定轉換和限制委派。