Настройка Single Sign-on

Чтобы настроить Single Sign-on, создайте объект nssoSingleSignon, включите v-GO и задайте глобальные настройки.

Создание объекта-контейнера NSSO

Чтобы создать объект nssoSingleSignon, выполните на рабочей станции администратора следующие шаги.

1. В программе ConsoleOne^TM щелкните правой кнопкой мыши контекст, в котором будет располагаться объект nssoSingleSignon.

   Для обеспечения необходимого уровня контроля объект nssoSingleSignon можно разместить на любом уровне дерева NDS кроме [Root]. На уровне Организация этот объект может применять настройки и политики ко всем серверам и пользователям Novell в дереве. На уровне Подразделение этот объект может применять настройки или политики выборочно.

   При размещении объекта nssoSingleSignon в других контекстах для обращения к нему можно использовать настройки объекта Пользователь или объекта-контейнера.

2. Последовательно выберите команды 'Новый', 'Объект', 'nssoSingleSignon', а затем нажмите кнопку OK.

3. Введите имя для объекта.

   Можно задать любое имя (например, nssoResearch-22).

4. (Необязательно). Импортируйте предопределенный список объектов nssoApplication.

   v-GO для Novell Single Sign-on содержит предопределенные объекты nssoApplication (например, Lotus* Notes*). Эти предопределенные объекты представляют приложения Windows*. Каждый объект содержит конфигурацию (определение) для конкретного приложения. Определения для этих приложений содержатся в файле APPLIST.INI.

   Чтобы импортировать эти предопределенные объекты, нажмите кнопку 'Обзор' рядом с полем 'Импортировать предопределенные приложения Windows для v-GO'.

   
   

   Найдите и выделите файл APPLIST.INI, расположенный в каталоге инсталляции (например, NOVELL\SSO\PASSLOGIX).

   ВАЖНО:  Импорт файла APPLIST.INI следует выполнить только один раз и только в том случае, если требуется применить дополнительную защиту или другие параметры.

   По умолчанию импортируемые объекты nssoApplication создаются с включением следующих параметров:

   • Дополнительная защита
   • Разрешить пользователю просматривать пароль

Включение v-GO

Чтобы использовать v-GO без ограничений и администрировать настройки и политики ConsoleOne, необходимо выполнить следующие действия.

• Лицензируйте продукт для всех пользователей, конфигурируемых данным объектом.

  Необходимо приобрести один из следующих пакетов:

  • v-GO для Novell Single Sign-On 2.1;
  • комплект Single Sign-on 2.1/ v-GO.

• Включите v-GO.

  Без включения программа v-GO поддерживает только предопределенные приложения, указанные в APPLIST2.INI, и Web-узлов.

1. Откройте вкладку 'v-GO' > 'Общая информация'.

   
   

2. Установите флажок 'Включить v-GO' в поле 'Лицензия'.

3. Примите лицензионное соглашение и нажмите кнопку 'Применить'.

Настройка объекта Single Sign-on

Настройка объекта Single Sign-on (nssoSingleSignon) выполняется путем применения настроек на страницах свойств Single Sign-on и v-GO.

Настройка параметров сервера

С помощью ConsoleOne можно настроить сервис Novell SecretStore^TM.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Задайте нужные настройки на странице общей информации Single Sign-on.

Страница общей информации nssoSingleSignon показана на следующем рисунке.

Настройка интервала обновления кэша

Сервис SecretStore кэширует некоторые настройки приложений, например, используемые NMAS^TM для принудительной аутентификации по категориям при операциях чтения секрета. Этот кэш помогает сервису быстрее отвечать на запросы. По умолчанию кэш сервера обновляется каждые 60 минут. Минимальный интервал обновления составляет 30 минут (1/2 часа). Максимально возможный интервал составляет 1 440 минут (24 часа).

Увеличение интервала целесообразно в следующих ситуациях:

• изменения в объекты NSSO вносятся нечасто;
• увеличение времени принудительного внесения изменений системой NSSO не имеет значения;
• требуется снизить интенсивность обновления данных в кэше.

При необходимости незамедлительно обновить данные выгрузите и снова загрузите сервис SecretStore.

Обновление отметки времени

Чтобы включить в сервисе SecretStore режим записи отметок времени при всех операциях чтения секрета, установите флажок 'Обновлять отметку времени при чтении секрета'.

По умолчанию система NSSO не обновляет отметки времени. Если требуется обновлять отметку времени при чтении секрета, установите соответствующий флажок. После этого при каждом чтении секрета будет требоваться его изменение путем обновления отметки времени. Для такого обновления требуется больше времени.

Запрет операций с главным паролем

Чтобы запретить все операции с главным паролем дополнительной защиты, установите флажок 'Запретить операции с главным паролем'. После этого пользователи не смогут использовать свои главные пароли для разблокирования SecretStore.

Применение политик паролей

Создав и настроив объект nssoPasswordPolicy, Вы можете управлять политиками паролей для v-GO и коннекторов приложений, поддерживающих политики паролей.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'Single Sign-on' > 'Общая информация'.

3. Нажмите кнопку 'Обзор', перейдите к объекту nssoPasswordPolicy и выделите этот объект.

Сведения о создании объекта nssoPasswordPolicy см. в разделе Применение политик паролей.

Разрешение работы в отключенном состоянии

v-GO использует локальное зашифрованное хранилище паролей, в интерактивном режиме функционирующее как кэш. v-GO поддерживает единую аутентификацию при отсутствии подключения к NDS и SecretStore. Эта возможность особенно полезна для пользователей портативных компьютеров. По умолчанию работа в отключенном состоянии разрешена.

Если требуется, чтобы пользователи данной конфигурации не могли использовать эту возможность, снимите флажок 'Разрешить работу в отключенном состоянии'.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Общая информация'.

3. Снимите флажок 'Разрешить работу в отключенном состоянии'.

Настройка глобальных параметров

Если включить определенные настройки, пользователи смогут задавать параметры единой аутентификации на своих рабочих станциях. С помощью раскрывающихся списков в ConsoleOne Вы можете задать глобальные параметры, разрешающие или переопределяющие пользовательские настройки.

v-GO для NSSO содержит четыре страницы свойств ('Общая информация', 'Пароль', 'Регистрации' и 'Большая ЭВМ'). Раскрывающиеся списки для выбора глобальных настроек распределены по этим четырем страницам. На следующем рисунке показаны раскрывающиеся списки с выбранным значением 'Определенный пользователем'.

Раскрывающийся список содержит три значения: 'Нет', 'Да' и 'Определенный пользователем'.

При выборе значений 'Да' или 'Нет' соответствующие пользовательские настройки отключаются (переопределяются). Значение параметра 'Определенный пользователем' предоставляет выбор пользователю.

Удаление данных локальной регистрации

В v-GO можно включить режим удаления локального кэша секретов при выключении компьютера пользователем. Это наиболее полезно в ситуациях, когда для регистрации нескольких пользователей используется один компьютер и одна учетная запись. (Имеется в виду регистрация на компьютере, а не в NDS.)52

Чтобы включить режим удаления с рабочих станций локального кэша секретов, выполните следующие действия.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Общая информация'.

3. В раскрывающемся списке поля 'Удалить данные локальной регистрации при завершении работы' выберите значение 'Да'.

   Чтобы отключить режим удаления локального кэша секретов с рабочих станций, выберите значение 'Нет'. Чтобы предоставить пользователям возможность самостоятельно выбирать режим на своих рабочих станциях, выберите значение 'Определенный пользователем'.

Использование кнопки 'Создать' для обновления

v-GO для NSSO загружает настройки и политики паролей из соответствующих атрибутов объекта nssoSingleSignon. Эти атрибуты автоматически обновляются при изменении объектов приложения и политики паролей. В случае удаления одного из этих объектов Вы можете принудительно обновить данные конфигурации v-GO, нажав кнопку 'Создать'. Обновления будут применены к рабочим станциям при следующем запуске v-GO.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Общая информация' > нажмите кнопку 'Создать'.

Распознавание приложений, защищенных паролем

v-GO может определять события регистрации в приложениях, данные регистрации для которых не были сохранены. Для таких случаев можно включить в v-GO режим распознавания приложений и Web-узлов, защищенных паролями, с выводом для пользователей приглашения добавить данные регистрации.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Пароль'.

3. В раскрывающемся списке поля 'Автоматический запрос' выберите значение 'Да'.

   При выборе значения 'Да' или 'Определенный пользователем' программа v-GO запрашивает у пользователя подтверждение добавления регистрации. Если пользователь отвечает утвердительно, запускается мастер добавления регистрации.

   При выборе значения 'Нет' пользователи смогут добавлять данные регистрации с помощью команды 'Добавить регистрацию' в меню значка Novell Single Sign-on, расположенного в системной области панели задач Windows.

Немедленное открытие приложения или Web-узла

v-GO может определять события регистрации в приложениях, данные регистрации для которых были сохранены. Для таких случаев можно включить в v-GO режим немедленного открытия соответствующего приложения или Web-узла.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Пароль'.

3. В раскрывающемся списке поля 'Автоматический ввод' выберите значение 'Да'.

   При выборе значения 'Да' или 'Определенный пользователем' программа v-GO предоставляет имя пользователя и пароль и открывает приложение или Web-узел.

   При выборе значения 'Нет' программа v-GO вводит данные, позволяет пользователю внести необходимые изменения в окне регистрации, а затем открывает приложение или Web-узел.

Отображение ИД и пароля пользователя

В v-GO можно включить режим отображения полей ИД и пароля пользователя.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Пароль'.

3. В раскрывающемся списке поля 'Показать ИД/пароль' выберите значение 'Да'.

   По умолчанию с помощью интерфейса 'Мои регистрации' программы v-GO пользователи могут просматривать сохраненные сведения о регистрациях.

   При выборе значения 'Нет' программа v-GO не отображает поля ИД и пароля.

   Вы можете управлять этим параметром на уровне приложений, задавая для него значения в каждом объекте nssoApplication. (Флажок 'Разрешить пользователю просматривать пароль' должен быть установлен.)

Определение специальных символов для паролей

Вы можете определить набор специальных символов, разрешенных для использования в паролях любого приложения.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Пароль'.

3. Введите в поле 'Специальных символов' дополнительные специальные символы, которые разрешено использовать в паролях пользователей.

   Каждый объект nssoPasswordPolicy имеет страницу 'Правила использования специальных символов'. На этой странице есть поле 'Недопустимые специальные символы'. В этом поле следует указать недопустимые символы.

   Содержимое поля 'Недопустимые специальные символы' в настройках приложения или набора приложений исключается из содержимого поля 'Специальные символы'.

Отображение значка доступа NSSO

В системе NSSO можно включить режим отображения в строке заголовка активного окна мелкого значка доступа к Novell Single Sign-on Access.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Регистрации'.

3. В раскрывающемся списке поля 'Значок доступа' выберите значение 'Да'.

   Значок доступа обеспечивает доступ к функциям v-GO 'Добавить регистрацию' и 'Регистрация'. Он наиболее полезен в том случае, если для параметров 'Автоматический запрос' (на странице 'Пароль') и 'Автораспознавание' (на странице 'Регистрации') задано значение 'Нет'.

   При выборе значения 'Да' значок отображается. Чтобы отключить отображение значка, выберите 'Нет'.

   Чтобы предоставить выбор пользователям, выберите значение 'Определенный пользователем'.

Отображение меню значка

По умолчанию при щелчке пользователем значка доступа к NSSO в заголовке окна отображается меню. Отображение этого меню можно отключить.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Регистрации'.

3. В раскрывающемся списке поля 'Раскрывающееся меню' выберите значение 'Нет'.

   Если значок отображается, при выборе значения 'Нет' для этого параметра происходит одно из следующих событий (в зависимости от того, существует ли регистрация для данного окна приложения):

   • событие добавления регистрации;
   • событие регистрации.

Автоматическое предоставление данных регистрации

По умолчанию программа v-GO автоматически предоставляет данные регистрации приложениям, для которых были созданы регистрации. Этот режим можно отключить.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Регистрации'.

3. В раскрывающемся списке поля 'Автораспознавание' выберите значение 'Нет'.

   При сохранении значения по умолчанию ('Да') данные регистрации предоставляются автоматически.

Настройка таймера

Для более быстрого выполнения регистраций пользователи могут задать таймер, последовательно выбрав 'Программы' > 'Single Sign-on' > 'Single Sign-on' > 'Настройка' > 'Регистрации'. Таймер определяет продолжительность кэширования параметров регистрации.

С помощью программы ConsoleOne можно переопределять настройки, заданные пользователями на рабочих станциях.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Регистрации'.

3. Введите нужное значение в поле 'Таймер'.

   Чтобы переопределить настройки, заданные пользователями на рабочих станциях, введите значение в поле 'Таймер'. Если значение (включая 0) не указано, пользователи могут задавать нужные значения на своих рабочих станциях.

   При задании большого числа (например, 15) процесс регистрации ускоряется, так как программа v-GO может быстро получить параметры регистрации из кэша. Если задано 15 минут, то, в случае истечения этого времени, при следующем доступе к программе v-GO для запуска приложения или редактирования сохраненных регистраций необходимо будет заново ввести пароль NDS.

   Таймер действует как программа сохранения экрана, только блокирует не рабочий стол, а программу v-GO.

   Если задать значение 0, пользователи должны будут вводить свои пароли NDS при запуске каждого приложения.

Усечение URL для Web-регистрации

Программа v-GO использует для сохранения URL мастер добавления регистрации. Вы можете задать число уровней URL, сохраняемых программой v-GO.

Например, следующий URL содержит четыре уровня: iClick.salem.vmp.com. Если задать значение 3, программа v-GO сохранит этот URL как salem.vmp.com.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Регистрации'.

3. Введите значение в поле 'Усечение URL для Web-регистрации до заданного уровня соответствия'.

   Усеченный путь, который программа v-GO записывает в ходе процесса добавления регистрации, можно изменять.

Включение поддержки больших ЭВМ

Можно включить режим переопределения пользовательских настроек для поддержки эмулятора терминала HLLAPI.

1. Щелкните объект nssoSingleSignon правой кнопкой мыши и выберите команду 'Свойства'.

2. Откройте вкладку 'v-GO' > 'Большая ЭВМ'.

3. В раскрывающемся списке поля 'Разрешить поддержку больших ЭВМ' выберите значение 'Да'.

4. В поле 'Эмулятор терминала по умолчанию' введите имя нужного эмулятора терминала.

   Если пользователь указал эмулятор на странице 'Большая ЭВМ' клиента v-GO, эту настройку можно переопределить. Список допустимых имен содержится в файле MFRMLIST.INI, расположенном в каталоге инсталляции клиента v-GO (C:\NOVELL\SSO\PASSLOGIX).

   Если на рабочих станциях пользователей не более одного эмулятора, этот параметр можно пропустить.

   При администрировании данного объекта nssoSingleSignon для пользователей, использующих другие эмуляторы, этот параметр применять не следует.