Bereitstellungsprozess
Anhand der folgenden Schritte erhalten Sie einen allgemeinen Überblick über die sichere Bereitstellung der Funktion für Einmaliges Anmelden für Unternehmen (SSO). Ausführliche Verfahrensbeschreibungen zu den Aktionen, die in SQL Server erforderlich sind, finden Sie in der SQL Server-Dokumentation.
Verwenden Sie auf dem SQL Server-Domänencontroller den Assistenten für neue Vertrauensstellungen, um eine Vertrauensstellung mit den folgenden Eigenschaften zu erstellen:
Name: ORCH.com
Richtung: Bidirektionale
Seiten: Nur diese Domäne
Authentifizierungsebene für ausgehende Vertrauensstellung – Lokale Domäne: Selektive Authentifizierung
Passwort: Auswählen eines Kennworts
Bestätigen der ausgehenden Vertrauensstellung: Ja
Bestätigen der eingehenden Vertrauensstellung: Nein
Verwenden Sie auf dem Domänencontroller ORCH.com den Assistenten für neue Vertrauensstellungen, um eine Vertrauensstellung mit den folgenden Eigenschaften zu erstellen:
Name: SQL.com
Richtung: Bidirektionale
Seiten: Nur diese Domäne
Authentifizierungsebene für ausgehende Vertrauensstellung – Lokale Domäne: Selektive Authentifizierung
Passwort: Muss mit dem Kennwort für ORCH.com identisch sein
Bestätigen der ausgehenden Vertrauensstellung: Ja
Bestätigen der eingehenden Vertrauensstellung: Nein
Legen Sie auf dem Domänencontroller ORCH.com die domänenweite Vertrauensstellung für Eingehend von „SQL.COM“ fest.
Legen Sie auf dem Domänencontroller SQL.com die domänenweite Vertrauensstellung für Ausgehend von „ORCH.COM“ fest.
Stufen Sie auf dem Domänencontroller ORCH.com die Domänenfunktionsebene auf Windows Server 2008 SP2 oder Windows Server 2008 R2 herauf.
Erstellen Sie in der Domäne ORCH die folgenden neuen Benutzer:
ORCH\SSOSvcUser
ORCH\TestAppUser
ORCH\AffAppUser
Fügen Sie "Act" als Teil des Betriebssystems zu SSOSvcUser und TestAppUser hinzu.
Fügen Sie ORCH\TestAdmin die Berechtigung Zulässige Authentifizierung hinzu.
Fügen Sie in der Domäne SQL dem Computer SQL2 den Benutzer ORCH\SSOSvcUser hinzu. (Zum Ausführen dieses Schritts müssen Sie in der Active Directory-MMC die Erweiterte Ansicht verwenden.)
Erstellen Sie auf dem Computer SQL2 die folgenden zwei neuen Anmeldenamen:
ORCH\TestAdmin
ORCH\SSOSvcUser
Erstellen Sie in der Domäne SQL2 zwei globale Domänengruppen:
ORCH\SSOAdminGroup
ORCH\SSOAffAdminGroup
Fügen Sie der Gruppe ORCH\SSOAdminGroup die Berechtigung Zulässige Authentifizierung hinzu.
Erstellen Sie in der SQL2-Datenbank den folgenden neuen Anmeldenamen:
- ORCH\SSOAdminGroup
Installieren Sie den Server für den geheimen Hauptschlüssel wie folgt:
Melden Sie sich mit dem Anmeldenamen ORCH\TestAdmin an NTS5 an.
Installieren Sie Einmaliges Anmelden für Unternehmen, und verwenden Sie dabei SQL2 als Server für den geheimen Hauptschlüssel.
Melden Sie sich am Computer HIS1 mit dem Anmeldenamen ORCH\TestAdmin an, und installieren Sie Einmaliges Anmelden für Unternehmen (SSO). Konfigurieren Sie Einmaliges Anmelden für Unternehmen für SSO, lassen Sie HIS2 beitreten, und verwenden Sie dabei den Datenbankservernamen SQL2.
Installieren Sie das SSO-Verwaltungshilfsprogramm auf HIS3, und verwenden Sie dabei den Anmeldenamen ORCH\TestAdmin.
Fügen Sie den folgenden Gruppen die folgenden Benutzer hinzu:
Fügen Sie der Gruppe ORCH\SSOAdminGroup den Benutzer ORCH\TestAppUser hinzu.
Fügen Sie der Gruppe ORCH\TestAffUserGroup den Benutzer ORCH\AffAppUser hinzu.
Installieren Sie SQL Server Enterprise Edition auf HIS3, und fügen Sie den Anmeldenamen ORCH\AffAppUser hinzu.
Öffnen Sie auf dem Computer HIS1 eine Eingabeaufforderung, und verwenden Sie die folgenden Befehle, um eine eingeschränkte Delegierung und den Protokollübergang festzulegen:
setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser
setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\TestAppUser
Legen Sie auf den Eigenschaftenseiten ORCH\SSOSvcUser und ORCH\TestAppUser die richtige Delegierung für beide Benutzerkonten fest, indem Sie die folgenden Optionen auswählen:
Benutzer bei Delegierungen angegebener Dienste vertrauen
Beliebiges Authentifizierungsprotokoll verwenden
Führen Sie auf dem Computer HIS1 unter Verwendung des Anmeldenamens ORCH\TestAdmin die folgenden Aktionen aus:
Fügen Sie der Gruppe Remotedesktopbenutzer den Benutzer ORCH\TestAppUser hinzu.
Erteilen des Identitätswechsels nach authentifizierten Berechtigungen für ORCH\SSOSvcUser
Erteilen der Identitätswechsel nach authentifizierten Berechtigungen für ORCH\TestAppUser
Überprüfen Sie die Bereitstellung, indem Sie sich am Computer HIS1 mit dem Benutzernamen ORCH\TestAppUser anmelden und die folgende Anwendungskonfiguration ausführen:
Führen Sie den Test LogonExternalUser aus.
<SSO> <application name="TestApp"> <description>An SSO Test Affiliate Application</description> <contact>AffAppUser@ESSOV2.EBiz.Com</contact> <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount> <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount> <field ordinal="0" label="User ID" masked="no" /> <field ordinal="1" label="Password" masked="yes" /> <flags groupApp="no" configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalGroups="yes" ticketTimeout="yes" adminGroupSame="no" enableApp="yes" hostInitiatedSSO="yes" validatePassword="yes"/> </application> </SSO>