Настройка единого входа (SSO-аутентификации) в ОС Windows
Содержание
Введение
В этой статье представлены инструкции по настройке экземпляра ПО Comindware Business Application Platform под управлением Windows, служб IIS и браузера конечного пользователя для аутентификации посредством технологии единого входа через Active Directory.
Настройка экземпляра ПО
1. Настройте подключение к Active Directory, см. статью Сервер каталогов. Настройка подключения.
2. На сервере с экземпляром ПО создайте доменного пользователя, под которым будет запускаться пул приложений экземпляра ПО в Internet Information Services (IIS).
3. Добавьте пользователя, созданного на шаге 2, в локальную группу Backup operators.
4. Предоставьте созданному пользователю права локального администратора на сервере с экземпляром ПО .
5. Обновите локальные групповые политики с помощью командной строки: gpupdate
6. Откройте созданного пользователя в оснастке «Пользователи и компьютеры Active Directory» и на вкладке «Редактор атрибутов» присвойте значение HTTP/sitename атрибуту servicePrincipalName, где sitename — имя хоста, по которому осуществляется доступ к экземпляру ПО.
7. Перейдите в Диспетчер служб IIS и настройте пул приложений экземпляра ПО, указав в поле «Удостоверение» пользователя, созданного на шаге 2. Пул приложений будет запускаться от имени указанного пользователя.
Настройка пользователя для запуска пула приложений
8. Предоставьте созданному пользователю полные права на каталоги исполняемых файлов ПО и базы данных экземпляра ПО.
9. Откройте для редактирования файл web.config в папке файлов конфигурации экземпляра ПО. См. статью «Просмотр фактических путей к папкам экземпляра системы».
10. В строке <authentication mode="None" /> измените значение None на значение Windows: <authentication
mode="Windows"/>
11. В Диспетчере служб IIS выберите сайт экземпляра ПО в разделе «Сайты».
12. Откройте пункт «Проверка подлинности».
Пункт «Проверка подлинности» в диспетчере служб IIS
13. Переведите все пункты в разделе «Проверка подлинности» в состояние «Отключен», кроме «Проверка подлинности Windows», этот пункт должен быть в состоянии «Включен».
14. Если веб-сервер был установлен вручную, перейдите в Панель управления Windows; в разделе «Программы и компоненты» выберите пункт «Включение или отключение компонентов Windows». В открывшемся окне нажимайте далее, до этапа «Server roles». На этом этапе необходимо проверить, чтобы в «Web Server (IIS)» были установлены 27 из 43 компонентов. Для удобства ниже приведён весь список компонентов, которые обязательно должны быть установлены.
Необходимые компоненты веб-сервера
15. Перезапустите пул приложения и экземпляр ПО.
Настройка клиента
По умолчанию SSO-авторизация работает в браузерах Edge и Google Chrome, но необходимо в параметрах безопасности браузера добавить сайт в зону местной интрасети и включить режим «Автоматический вход в сеть только в зоне интрасети». Сведения о настройке других браузеров см. в соответствующей документации.
Окно настройки параметров безопасности браузера
Номер Статьи: 2309
Размещено: Mon, Jan 9, 2023
Последнее обновление: Fri, Sep 20, 2024
Online URL: https://kb.comindware.ru/article/nastrojka-edinogo-vhoda-sso-autentifikacii-v-os-windows-2309.html