Inhalt
|
Attribute für die Windows Desktop SSO-Authentifizierung
Bei den Attributen für die Windows Desktop SSO-Authentifizierung handelt es sich um Organisationsattribute. Die diesen Attributen in der Dienstkonfiguration zugewiesenen Werte werden als Standardwerte der Vorlage für die Windows Desktop SSO-Authentifizierung verwendet. Die Dienstvorlage muss erstellt werden, wenn der Dienst für die Organisation registriert wird. Die Standardwerte können nach der Registrierung durch den Administrator der Organisation geändert werden. Organisationsattribute werden nicht an Einträge in den Unterbäumen der Organisation vererbt.
Dieses Authentifizierungsmodul erfordert den Kerberos-Authentifizierungsdienst, der von einem als Domänencontroller ausgeführten Windows 2000 Server bereitgestellt wird.
Die Attribute für die Windows Desktop SSO-Authentifizierung sind folgende:
Dienst-Principal
Dieses Attribut gibt den Kerberos-Principal an, der für die Authentifizierung verwendet wird. Verwenden Sie das folgende Format:
HTTP/hostname.domänenname@dc_domänenname
hostname und domänenname stehen für den Host-Namen und den Domänennamen der Access Manager-Instanz. dc_domänenname bezeichnet die Kerberos-Domäne, in der sich der Windows 2000 Kerberos-Server (Domänencontroller) befindet. Dieser Name unterscheidet sich möglicherweise vom Domänennamen des Access Manager.
Dateiname der Schlüsseltabelle
Dieses Attribut gibt die Datei der Kerberos-Schlüsseltabelle an, die für die Authentifizierung verwendet wird. Verwenden Sie das folgende Format, auch wenn dies nicht unbedingt erforderlich ist.
hostname.HTTP.schlüsseltabelle
hostname steht für den Host-Namen der Access Manager-Instanz.
Kerberos-Bereich
Dieses Attribut gibt den Domänennamen des Kerberos-Verteilungscenter (Domänencontroller) an. Je nach Konfiguration kann sich der Domänenname des Domänencontrollers vom Access Manager-Domänennamen unterscheiden.
Kerberos-Servername
Dieses Attribut gibt den Host-Namen des Kerberos-Verteilungscenters (Domänencontroller) an. Geben Sie den vollständig qualifizierten Domänennamen (FQDN) des Domänencontrollers ein.
Principal mit Domänennamen zurückgeben
Ist dieses Attribut aktiviert, kann Access Manager den Kerberos-Principal mit dem Domänennamen des Domänencontrollers bei der Authentifizierung automatisch zurückgeben.
Authentifizierungsebene
Die Authentifizierungsebene wird für jede Authentifizierungsmethode separat eingestellt. Mit diesem Wert wird angegeben, wie stark einer Authentifizierung vertraut wird. Nach der Authentifizierung eines Benutzers wird dieser Wert im SSO-Token für die betreffende Sitzung gespeichert. Wird das SSO-Token einer Anwendung vorgelegt, auf die der Benutzer zugreifen möchte, bestimmt die Anwendung anhand des gespeicherten Werts, ob die Authentifizierungsebene ausreicht, um dem Benutzer Zugriff zu gewähren. Wenn die in einem SSO-Token gespeicherte Authentifizierungsebene nicht dem erforderlichen Mindestwert entspricht, kann die Anwendung den Benutzer auffordern, sich über einen Dienst mit einer höheren Authentifizierungsebene erneut zu authentifizieren. Der Standardwert ist 0.
Hinweis
Wenn keine Authentifizierungsebene angegeben wird, wird im SSO-Token der im Kern-Authentifizierungsattribut "Standard-Authentifizierungsebene" angegebene Wert verwendet.
Inhalt |