Настройка единого входа (SSO-аутентификации) в ОС Windows

Введение

В этой статье представлены инструкции по настройке экземпляра ПО Comindware Business Application Platform под управлением Windows, служб IIS и браузера конечного пользователя для аутентификации посредством технологии единого входа через Active Directory.

Настройка экземпляра ПО

1. Настройте подключение к Active Directory, см. статью Сервер каталогов. Настройка подключения.

2. На сервере с экземпляром ПО создайте доменного пользователя, под которым будет запускаться пул приложений экземпляра ПО в Internet Information Services (IIS).

3. Добавьте пользователя, созданного на шаге 2, в локальную группу Backup operators.

4. Предоставьте созданному пользователю права локального администратора на сервере с экземпляром ПО .

5. Обновите локальные групповые политики с помощью командной строки: gpupdate

6. Откройте созданного пользователя в оснастке «Пользователи и компьютеры Active Directory» и на вкладке «Редактор атрибутов» присвойте значение HTTP/sitename атрибуту servicePrincipalName, где sitename — имя хоста, по которому осуществляется доступ к экземпляру ПО.

7. Перейдите в Диспетчер служб IIS и настройте пул приложений экземпляра ПО, указав в поле «Удостоверение» пользователя, созданного на шаге 2. Пул приложений будет запускаться от имени указанного пользователя.

8. Предоставьте созданному пользователю полные права на каталоги исполняемых файлов ПО и базы данных экземпляра ПО.

9. Откройте для редактирования файл web.config в папке файлов конфигурации экземпляра ПО. См. статью «Просмотр фактических путей к папкам экземпляра системы».

10. В строке <authentication mode="None" /> измените значение None на значение Windows: <authentication mode="Windows"/>

11. В Диспетчере служб IIS выберите сайт экземпляра ПО в разделе «Сайты».

12. Откройте пункт «Проверка подлинности».

13. Переведите все пункты в разделе «Проверка подлинности» в состояние «Отключен», кроме «Проверка подлинности Windows», этот пункт должен быть в состоянии «Включен».

14. Если веб-сервер был установлен вручную, перейдите в Панель управления Windows; в разделе «Программы и компоненты» выберите пункт «Включение или отключение компонентов Windows». В открывшемся окне нажимайте далее, до этапа «Server roles». На этом этапе необходимо проверить, чтобы в «Web Server (IIS)» были установлены 27 из 43 компонентов. Для удобства ниже приведён весь список компонентов, которые обязательно должны быть установлены.

15. Перезапустите пул приложения и экземпляр ПО.

Настройка клиента

По умолчанию SSO-авторизация работает в браузерах Edge и Google Chrome, но необходимо в параметрах безопасности браузера добавить сайт в зону местной интрасети и включить режим «Автоматический вход в сеть только в зоне интрасети». Сведения о настройке других браузеров см. в соответствующей документации.