Applicazioni affiliate SSO
Le applicazioni di associazione Enterprise Single Sign-On (SSO) sono entità logiche che rappresentano un sistema o un sub-system, ad esempio un sistema host, un sistema back-end o un'applicazione line-of-business a cui ci si connette tramite SSO. Un'applicazione affiliata può rappresentare un sistema back-end, quale un mainframe o un computer UNIX, un'applicazione, ad esempio SAP, oppure una suddivisione del sistema, ad esempio il sottosistema "Indennità" o il sottosistema "Stipendi".
Quando l'amministratore SSO o l'amministratore di affiliazione SSO definisce un'applicazione di affiliazione, devono anche determinare chi gestirà l'applicazione affiliata (l'amministratore dell'applicazione), chi gli utenti dell'applicazione affiliata sono (gli utenti dell'applicazione) e quali parametri useranno il sistema SSO per autenticare gli utenti di questa applicazione affiliata (l'ID utente, password, PIN e così via. Per altre informazioni sugli amministratori delle applicazioni e sugli utenti dell'applicazione, vedere Enterprise Single Sign-On User Groups.For more information about application administrators and application users users, see Enterprise Single Sign-On User Groups.
Tipi di applicazione affiliata
Enterprise SSO definisce diversi tipi di applicazione che supportano tipi diversi di mapping tra l'account Windows e l'account nel sistema non Windows.
I tipi di applicazione sono i seguenti:
Individuo Le singole applicazioni supportano mapping uno-a-uno tra l'account Windows e l'account non Windows. In un'applicazione di tipo Individuale un account Windows viene mappato a un solo account non Windows. Il mapping può essere utilizzato in entrambe le direzioni, da Windows a non Windows, o da non Windows a Windows, o entrambi, in base ai flag impostati per l'applicazione. È quindi possibile usare singole applicazioni per l'accesso SSO avviato da Windows, l'accesso SSO avviato dall'host o entrambi.
Gruppo Le applicazioni di gruppo supportano mapping tra un gruppo di Windows e un singolo account non Windows. Per definire il gruppo di Windows che verrà utilizzato per l'applicazione di tipo Gruppo si utilizza l'account Utenti applicazione. Per un'applicazione di tipo Gruppo può essere definito un solo mapping, che deve essere tra il gruppo di Windows e il singolo account non Windows che verrà utilizzato da tutti i membri del gruppo di Windows per accedere al sistema non Windows. Le applicazioni di gruppo possono essere usate solo per l'accesso SSO avviato da Windows.
Gruppo host Le applicazioni del gruppo host sono concettualmente il contrario delle applicazioni group. Supportano mapping tra un gruppo definito di account non Windows e un singolo account Windows. Il singolo account Windows che verrà utilizzato dagli account non Windows è definito dall'account Utenti applicazione per l'applicazione. Il gruppo di account non Windows che possono accedere a quest'applicazione viene definito creando un mapping per ogni account non Windows. Le applicazioni del gruppo host possono essere usate solo per l'accesso SSO avviato dall'host.
Progettazione di un'applicazione affiliata
Prima di creare un'applicazione affiliata, l'amministratore di affiliazione SSO o l'amministratore SSO devono prendere le decisioni seguenti:
Che cosa rappresenterà l'applicazione affiliata? È necessario conoscere l'applicazione non Windows che l'applicazione di affiliazione rappresenta nel sistema SSO. Ad esempio:
Nome applicazione: APP1
Descrizione: Applicazione per il reparto stub a pagamento
Contattare: administrator@companyname.com
Chi amministrerà l'applicazione affiliata? È necessario determinare chi sono gli amministratori per questa applicazione di affiliazione. Questi moduli costituiscono il gruppo amministratori di Windows per questa applicazione di affiliazione; ad esempio Domain\APP1AdminGroup.
Chi utilizzerà l'applicazione affiliata? È necessario determinare chi sono gli utenti finali per questa applicazione di affiliazione. Questi utenti rappresentano il gruppo di utenti Windows per l'applicazione affiliata, ad esempio Dominio\UtentiDominio. Nel caso dell'applicazione per gli stipendi, qualora fosse necessario che tutti gli utenti accedano alle informazioni sul proprio stipendio, sarà possibile specificare il gruppo di utenti del dominio come gruppo di utenti per l'applicazione.
Quali credenziali vengono utilizzate dall'applicazione affiliata per autenticare gli utenti? Diverse applicazioni usano credenziali diverse per autenticare gli utenti. Ad esempio, alcune applicazioni possono usare ID utente, password, PIN o una combinazione di queste. È inoltre necessario determinare se il sistema debba mascherare le credenziali inserite dall'utente.
Per l'applicazione affiliata verranno utilizzati singoli mapping o un mapping di gruppo? È necessario stabilire se ogni utente Windows dispone di un account nel sistema back-end o se il sistema back-end dispone di un unico account per tutti gli utenti Windows. Nel caso del sistema stub a pagamento, ogni utente ha un account per accedere alle singole informazioni stub a pagamento e è necessario usare singoli mapping.
Dopo aver creato un'applicazione affiliata, non è possibile modificare le proprietà seguenti:
Nome dell'applicazione affiliata.
Campi associati all'applicazione di affiliazione.
Tipo di applicazione di affiliazione (gruppo host, singolo o archivio di configurazione).
Account di amministrazione identico al gruppo di amministratori di applicazioni affiliate. Se si seleziona questa proprietà, il gruppo di amministratori di affiliazione viene usato come account degli amministratori dell'applicazione per questa applicazione affiliata.
Proprietà delle applicazioni affiliate
Nella tabella seguente sono elencate le proprietà che è necessario definire per ogni applicazione affiliata creata.
Proprietà | Descrizione |
---|---|
Nome applicazione | Nome dell'applicazione affiliata. Non è possibile modificare questa proprietà dopo aver creato l'applicazione affiliata. |
Descrizione | Breve descrizione dell'applicazione affiliata. |
Contatto | Il contatto principale per questa applicazione affiliata che gli utenti possono utilizzare. Può essere un indirizzo di posta elettronica. |
appUserAccount | Gruppo di Windows che contiene gli account utente degli utenti finali che useranno questa applicazione affiliata. |
appAdminAccount | Gruppo di Windows contenente gli account amministratore che gestiranno l'applicazione affiliata. Nota: Non è necessario definire questa proprietà se si imposta l'amministratoreAccountSame su Sì. |
Flag dell'applicazione | Descrizione |
---|---|
enableApp | Stato dell'applicazione affiliata. |
groupApp | Determina se questa applicazione usa un mapping di gruppi (Sì) o singoli mapping (No). Non è possibile modificare questa proprietà dopo aver creato l'applicazione. |
configStoreApp | Determina se questa applicazione affiliata è un'applicazione di tipo di Archivio configurazione (Sì). Non è possibile modificare questa proprietà dopo aver creato l'applicazione. |
hostInitiatedSSO | Abilitare questa opzione se si tratta di un'applicazione di tipo SSO avviata dall'host. L'impostazione predefinita è No. |
windowsInitiatedSSO | Abilitare questo flag se l'applicazione è di tipo SSO avviato da Windows. Il valore predefinito è Yes. |
validatePassword | Questo vale solo per le applicazioni SSO avviate dall'host. Quando l'applicazione tenta di recuperare le credenziali, deve fornire la password nel database delle credenziali, utilizzata per la convalida da parte dei servizi SSO. Il valore predefinito è Yes. |
disableCredCache | Nel server SSO le credenziali vengono archiviate in una cache per accelerare l'accesso. L'impostazione predefinita è No. |
allowTickets | Determina se nel sistema SSO vengono utilizzati i ticket per questa applicazione affiliata. Nota: È necessario essere un amministratore SSO per impostare questo flag. |
validateTickets | Determina se nel sistema SSO vengono convalidati i ticket quando l'utente li riscatta. Nota: È necessario essere un amministratore SSO per impostare questo flag. |
appTicketTimeOut | Indicare un timeout di ticket specifico per l'applicazione affiliata. È possibile impostarlo solo quando si aggiorna un'applicazione di affiliazione, non quando la si crea. Se l'emissione di ticket è attivata per questa applicazione e questa proprietà non lo è, viene utilizzato il timeout specificato a livello di sistema SSO (Globale). Nota: È necessario essere un amministratore SSO per impostare questo flag. |
timeoutTickets | Determina se i ticket hanno una data di scadenza. L'impostazione predefinita è No. Nota: È necessario essere un amministratore SSO per impostare questo flag. |
allowLocalAccounts | Determina se si consente l'uso di account e gruppi locali nel sistema SSO. Questo flag può essere impostato su Sì solo in scenari con un singolo computer. |
adminAccountSame | Determina se utilizzare il gruppo di amministratori di applicazioni affiliate SSO come gruppo di amministratori dell'applicazione. Non è possibile modificare questa proprietà dopo aver creato l'applicazione. Nota: È necessario essere un amministratore SSO per impostare questo flag. |
Campi applicazione | Descrizione | Descrizione |
---|---|---|
Campo [0] | <Credenziale>: mascherato/non mascherato | Determina il tipo di credenziale (ID utente, password, smartcard) che gli utenti finali devono fornire per connettersi all'applicazione affiliata e se questa credenziale è mascherata, ovvero se i caratteri visualizzati dall'utente sullo schermo. È possibile immettere tanti campi quante sono le credenziali per l'applicazione affiliata, ma il primo campo deve essere l'ID utente. Non è possibile modificare questa proprietà dopo aver creato l'applicazione. |
Vedere anche
Gestione delle applicazioni affiliate
Mapping SSO
Gestione dei mapping degli utenti
Nozioni di base su Single Sign-On Enterprise