SSO 票證
在使用者與各系統和應用程式互動的企業環境中,該環境很可能不會維護透過多個程序、產品和電腦的使用者內容。 此使用者內容對於提供單一登入功能非常重要,因為必須確認誰起始原始要求。 為了克服此問題,Enterprise Single Sign-On (SSO) 提供 SSO 票證 (不是 Kerberos 票證,) 應用程式可用來取得與提出原始要求之使用者對應的認證。 根據預設,不會啟用 SSO 票證。 如需啟用票證的詳細資訊,請參閱 如何設定企業單一 Sign-On 票證。
驗證的 Windows 使用者提出要求時,SSO 系統會發出票證。 SSO 系統只能針對提出要求的使用者發出票證, (您無法為其他使用者要求票證) 。 票證包含目前使用者的加密網域和使用者名稱,以及票證到期時間。 SSO 系統發出票證之後,票證預設會在兩分鐘內到期。 SSO 系統管理員可以修改票證的到期時間。 如需詳細資訊, 請參閱如何設定企業單一 Sign-On 票證。
應用程式驗證原始要求者的身分識別之後,應用程式會兌換票證,以取得起始對聯盟應用程式要求的使用者認證。 應用程式可以使用下列三種方式之一從 SSO 系統兌換票證:
僅贖回。 當應用程式初始化贖回票證的要求時,要求必須包含連接的分支機構應用程式之名稱以及票證本身。 只有特定分支機構應用程式的應用程式系統管理員、SSO 分支機構系統管理員或 SSO 系統管理員可以贖回票證。 只有在發行票證的應用程式與兌換票證的應用程式之間有受信任的子系統時,才應該使用 兌換 。 只有指定分支機構應用程式的應用程式系統管理員可以為使用者贖回票證。
驗證與贖回。 票證包含 SSO 系統對其執行認證查詢的使用者相關資訊。 在此情況下,SSO 服務會在系統贖回票證之前,確認原始訊息的傳送者與票證的使用者是否相同。
SSO 系統管理員可以根據每個聯盟應用程式停用票證逾時。 不過,不建議這麼做,因為此應用程式的票證永遠不會過期。 在需要停用票證逾時的情況下,請確定 SSO 系統在 SSO 系統將票證發出票證給 SSO 票證兌換票證的前端之間,有安全的端對端信任子系統。
SSO 分支機構系統管理員可以分別指定每個分支機構應用程式上容許的票證以及所需的票證驗證。 不過,若 SSO 系統管理員在 SSO 系統層級指定需要驗證票證,SSO 分支機構系統管理員就無法在分支機構應用程式層級次關閉此選項。
重要
使用 SSO 票證時,您必須確定票證逾時值夠長,足以在票證發行至兌換票證的時間之間持續。