Condividi tramite

Convalida delle password per SSO avviato dall'host

  • Articolo

Quando si crea un'applicazione affiliata per SSO avviato da host, la convalida della password per gli utenti non Windows è abilitata per impostazione predefinita. Ciò significa che quando le applicazioni chiamano SSO per ottenere il token utente di Windows per l'accesso alle risorse, dovranno fornire l'account utente e la password Windows. Se la password non corrisponde a quella presente nel database SSO per tale utente non Windows, l'accesso viene negato. Se necessario, è possibile disabilitare la funzionalità di convalida della password per l'applicazione affiliata. La funzionalità di convalida della password si applica ad applicazioni affiliate sia di un singolo tipo che di tipo gruppo di host per SSO avviato dall'host.

Di seguito è riportato un file XML di esempio per l'applicazione affiliata per SSO avviato dall'host di un singolo tipo:

<sso>  
<application name="SAP">  
<description>The SAP application</description>   
<contact>someone@example.com</contact>   
<appuserAccount>domain\AppUserGroupAccount</appuserAccount>   
<appAdminAccount>domain\AppAdminGroupAccount</appAdminAccount>   
<field ordinal="0" label="User Id" masked="no" />   
<field ordinal="1" label="Password" masked="yes" />   
<flags groupApp="no"  configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalAccounts="no" timeoutTickets="yes" adminAccountSame="no" enableApp="no" />  
</application>  
</sso>

Nel caso di singole applicazioni per SSO avviato dall'host, appUserAccount è un account di gruppo contenente l'elenco degli utenti dell'account di dominio Windows per i quali è disponibile un mapping uno a uno con i corrispondenti account non Windows.

Di seguito è riportato un file XML di esempio per l'applicazione affiliata per SSO avviato dall'host di tipo gruppo di host:

<sso>  
<application name="SAP">  
<description>The SAP application</description>   
<contact>someone@example.com</contact>   
<appuserAccount>domain\AppUserAccount</appuserAccount>   
<appAdminAccount>domain\AppAdminGroupAccount</appAdminAccount>   
<field ordinal="0" label="User Id" masked="no" />   
<field ordinal="1" label="Password" masked="yes" />   
<flags  configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalAccounts="no" timeoutTickets="yes" adminAccountSame="no" enableApp="no" />  
</application>  
</sso>

Nelle applicazioni di gruppo per SSO avviato dall'host, appUserAccount deve essere un account utente singolo. È a questo account che viene eseguito il mapping di tutti gli account non Windows.

Vedere anche

SSO avviato dall'host