目录    

Windows 桌面 SSO 验证属性

Windows 桌面 SSO 验证属性是组织属性。在“服务配置”下 Windows 桌面 SSO 验证属性采用的值将成为 Windows 桌面 SSO 验证模板的缺省值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改缺省值。组织属性不会被组织子树中的条目继承。

此验证模块需要作为域控制器运行的 Windows 2000 服务器所提供的 Kerberos 验证服务。

Windows 桌面 SSO 验证属性包括:

服务负责人

此属性指定用来验证的 Kerberos 负责人。请使用以下格式:

HTTP/hostname.domainname@dc_domain_name

hostname 和 domainame 代表 Access Manager 实例的主机名和域名。dc_domain_name 是 Windows 2000 Kerberos 服务器(域控制器)所在的 Kerberos 域。它可能与 Access Manager 的域名不同。

密钥文件名

此属性指定用来验证的 Kerberos 密钥文件。使用以下格式(尽管该格式不是必需的):

hostname.HTTP.keytab

hostname 指 Access Manager 实例的主机名。

Kerberos 领域

此属性指定 Kerberos 分发中心(域控制器)域名。域控制器的域名可能与 Access Manager 域名不同,具体取决于配置。

Kerberos 服务器名

此属性指定 Kerberos 分发中心(域控制器)主机名。必须输入该域控制器的全限定域名 (FQDN)。

返回负责人的域名

此属性启用后允许 Access Manager 在验证期间自动返回带有域控制器域名的 Kerberos 负责人。

验证级别

各种验证方法都单独设置了验证级别。验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。当 SSO 令牌传递到用户要访问的应用程序时,应用程序将根据存储的值来确定级别是否足以授予用户访问权限。如果 SSO 令牌中存储的验证级别没有达到所需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。缺省值为 0


如果未指定任何验证级别,核心验证属性“缺省验证级别”中指定的值将会存储到 SSO 令牌中。



目录