Настройка единого входа (SSO-аутентификации) в ОС Windows

Введение

Здесь представлены инструкции по настройке экземпляра ПО Comindware Platform под управлением Windows, служб IIS и браузера конечного пользователя для аутентификации посредством технологии единого входа через Active Directory.

Настройка экземпляра ПО

  1. Настройте подключение к Active Directory, см. статью Сервер каталогов. Настройка подключения.
  2. На сервере с экземпляром ПО создайте доменного пользователя, под которым будет запускаться пул приложений экземпляра ПО в Internet Information Services (IIS).
  3. Добавьте пользователя, созданного на шаге 2, в локальную группу Backup operators.
  4. Предоставьте созданному пользователю права локального администратора на сервере с экземпляром ПО .
  5. Обновите локальные групповые политики с помощью командной строки: gpupdate
  6. Откройте созданного пользователя в оснастке «Пользователи и компьютеры Active Directory» и на вкладке «Редактор атрибутов» присвойте значение HTTP/sitename атрибуту servicePrincipalName, где sitename — имя хоста, по которому осуществляется доступ к экземпляру ПО.

  7. Перейдите в Диспетчер служб IIS и настройте пул приложений экземпляра ПО, указав в поле «Удостоверение» пользователя, созданного на шаге 2. Пул приложений будет запускаться от имени указанного пользователя.

    Настройка пользователя для запуска пула приложений
    Настройка пользователя для запуска пула приложений

  8. Предоставьте созданному пользователю полные права на каталоги исполняемых файлов ПО и базы данных экземпляра ПО.

  9. Откройте для редактирования файл web.config в папке файлов конфигурации экземпляра ПО. См. статью «Пути и содержимое директорий экземпляра ПО».
  10. В строке <authentication mode="None" /> измените значение None на значение Windows: <authentication mode="Windows"/>
  11. В Диспетчере служб IIS выберите сайт экземпляра ПО в разделе «Сайты».

  12. Откройте пункт «Проверка подлинности».

    Пункт «Проверка подлинности» в диспетчере служб IIS
    Пункт «Проверка подлинности» в диспетчере служб IIS

  13. Переведите все пункты в разделе «Проверка подлинности» в состояние «Отключен», кроме «Проверка подлинности Windows», этот пункт должен быть в состоянии «Включен».

  14. Если веб-сервер был установлен вручную, перейдите в Панель управления Windows; в разделе «Программы и компоненты» выберите пункт «Включение или отключение компонентов Windows». В открывшемся окне нажимайте далее, до этапа «Server roles». На этом этапе необходимо проверить, чтобы в «Web Server (IIS)» были установлены 27 из 43 компонентов. Для удобства ниже приведён весь список компонентов, которые обязательно должны быть установлены.

    Необходимые компоненты веб-сервера
    Необходимые компоненты веб-сервера

  15. Перезапустите пул приложения и экземпляр ПО.

Настройка клиента

По умолчанию SSO-авторизация работает в браузерах Edge и Google Chrome, но необходимо в параметрах безопасности браузера добавить сайт в зону местной интрасети и включить режим «Автоматический вход в сеть только в зоне интрасети». Сведения о настройке других браузеров см. в соответствующей документации.

Окно настройки параметров безопасности браузера

Окно настройки параметров безопасности браузера

К началу

Номер Статьи: 4657
Размещено: Mon, Jan 9, 2023
Последнее обновление: Tue, Jun 17, 2025

Online URL: https://kb.comindware.ru/article/nastrojka-edinogo-vhoda-sso-autentifikacii-v-os-windows-4657.html