Freigeben über

Bereitstellungsprozess

  • Artikel

Anhand der folgenden Schritte erhalten Sie einen allgemeinen Überblick über die sichere Bereitstellung der Funktion für Einmaliges Anmelden für Unternehmen (SSO). Ausführliche Verfahrensbeschreibungen zu den Aktionen, die in SQL Server erforderlich sind, finden Sie in der SQL Server-Dokumentation.

  1. Verwenden Sie auf dem SQL Server-Domänencontroller den Assistenten für neue Vertrauensstellungen, um eine Vertrauensstellung mit den folgenden Eigenschaften zu erstellen:

    • Name: ORCH.com

    • Richtung: Bidirektionale

    • Seiten: Nur diese Domäne

    • Authentifizierungsebene für ausgehende Vertrauensstellung – Lokale Domäne: Selektive Authentifizierung

    • Passwort: Auswählen eines Kennworts

    • Bestätigen der ausgehenden Vertrauensstellung: Ja

    • Bestätigen der eingehenden Vertrauensstellung: Nein

  2. Verwenden Sie auf dem Domänencontroller ORCH.com den Assistenten für neue Vertrauensstellungen, um eine Vertrauensstellung mit den folgenden Eigenschaften zu erstellen:

    • Name: SQL.com

    • Richtung: Bidirektionale

    • Seiten: Nur diese Domäne

    • Authentifizierungsebene für ausgehende Vertrauensstellung – Lokale Domäne: Selektive Authentifizierung

    • Passwort: Muss mit dem Kennwort für ORCH.com identisch sein

    • Bestätigen der ausgehenden Vertrauensstellung: Ja

    • Bestätigen der eingehenden Vertrauensstellung: Nein

  3. Legen Sie auf dem Domänencontroller ORCH.com die domänenweite Vertrauensstellung für Eingehend von „SQL.COM“ fest.

  4. Legen Sie auf dem Domänencontroller SQL.com die domänenweite Vertrauensstellung für Ausgehend von „ORCH.COM“ fest.

  5. Stufen Sie auf dem Domänencontroller ORCH.com die Domänenfunktionsebene auf Windows Server 2008 SP2 oder Windows Server 2008 R2 herauf.

  6. Erstellen Sie in der Domäne ORCH die folgenden neuen Benutzer:

    • ORCH\SSOSvcUser

    • ORCH\TestAppUser

    • ORCH\AffAppUser

  7. Fügen Sie "Act" als Teil des Betriebssystems zu SSOSvcUser und TestAppUser hinzu.

  8. Fügen Sie ORCH\TestAdmin die Berechtigung Zulässige Authentifizierung hinzu.

  9. Fügen Sie in der Domäne SQL dem Computer SQL2 den Benutzer ORCH\SSOSvcUser hinzu. (Zum Ausführen dieses Schritts müssen Sie in der Active Directory-MMC die Erweiterte Ansicht verwenden.)

  10. Erstellen Sie auf dem Computer SQL2 die folgenden zwei neuen Anmeldenamen:

    • ORCH\TestAdmin

    • ORCH\SSOSvcUser

  11. Erstellen Sie in der Domäne SQL2 zwei globale Domänengruppen:

    • ORCH\SSOAdminGroup

    • ORCH\SSOAffAdminGroup

  12. Fügen Sie der Gruppe ORCH\SSOAdminGroup die Berechtigung Zulässige Authentifizierung hinzu.

  13. Erstellen Sie in der SQL2-Datenbank den folgenden neuen Anmeldenamen:

    • ORCH\SSOAdminGroup

  14. Installieren Sie den Server für den geheimen Hauptschlüssel wie folgt:

    • Melden Sie sich mit dem Anmeldenamen ORCH\TestAdmin an NTS5 an.

    • Installieren Sie Einmaliges Anmelden für Unternehmen, und verwenden Sie dabei SQL2 als Server für den geheimen Hauptschlüssel.

  15. Melden Sie sich am Computer HIS1 mit dem Anmeldenamen ORCH\TestAdmin an, und installieren Sie Einmaliges Anmelden für Unternehmen (SSO). Konfigurieren Sie Einmaliges Anmelden für Unternehmen für SSO, lassen Sie HIS2 beitreten, und verwenden Sie dabei den Datenbankservernamen SQL2.

  16. Installieren Sie das SSO-Verwaltungshilfsprogramm auf HIS3, und verwenden Sie dabei den Anmeldenamen ORCH\TestAdmin.

  17. Fügen Sie den folgenden Gruppen die folgenden Benutzer hinzu:

    • Fügen Sie der Gruppe ORCH\SSOAdminGroup den Benutzer ORCH\TestAppUser hinzu.

    • Fügen Sie der Gruppe ORCH\TestAffUserGroup den Benutzer ORCH\AffAppUser hinzu.

  18. Installieren Sie SQL Server Enterprise Edition auf HIS3, und fügen Sie den Anmeldenamen ORCH\AffAppUser hinzu.

  19. Öffnen Sie auf dem Computer HIS1 eine Eingabeaufforderung, und verwenden Sie die folgenden Befehle, um eine eingeschränkte Delegierung und den Protokollübergang festzulegen:

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\TestAppUser

  20. Legen Sie auf den Eigenschaftenseiten ORCH\SSOSvcUser und ORCH\TestAppUser die richtige Delegierung für beide Benutzerkonten fest, indem Sie die folgenden Optionen auswählen:

    • Benutzer bei Delegierungen angegebener Dienste vertrauen

    • Beliebiges Authentifizierungsprotokoll verwenden

  21. Führen Sie auf dem Computer HIS1 unter Verwendung des Anmeldenamens ORCH\TestAdmin die folgenden Aktionen aus:

    • Fügen Sie der Gruppe Remotedesktopbenutzer den Benutzer ORCH\TestAppUser hinzu.

    • Erteilen des Identitätswechsels nach authentifizierten Berechtigungen für ORCH\SSOSvcUser

    • Erteilen der Identitätswechsel nach authentifizierten Berechtigungen für ORCH\TestAppUser

  22. Überprüfen Sie die Bereitstellung, indem Sie sich am Computer HIS1 mit dem Benutzernamen ORCH\TestAppUser anmelden und die folgende Anwendungskonfiguration ausführen:

    Führen Sie den Test LogonExternalUser aus.

    <SSO>  
   <application name="TestApp">  
      <description>An SSO Test Affiliate Application</description>  
      <contact>AffAppUser@ESSOV2.EBiz.Com</contact>  
      <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount>  
      <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount>  
      <field ordinal="0" label="User ID" masked="no" />  
      <field ordinal="1" label="Password" masked="yes" />  
      <flags   
         groupApp="no"   
         configStoreApp="no"   
         allowTickets="no"   
         validateTickets="yes"   
         allowLocalGroups="yes"   
         ticketTimeout="yes"   
         adminGroupSame="no"   
         enableApp="yes"   
         hostInitiatedSSO="yes"   
         validatePassword="yes"/>  
   </application>  
</SSO>

Weitere Informationen

SSO-Bereitstellung (Einmaliges Anmelden) – Übersicht