Proceso de implementación

En los pasos siguientes se proporciona información general de alto nivel sobre la implementación segura del inicio de sesión único de Enterprise. Para obtener procedimientos detallados sobre las acciones que se van a realizar en SQL Server, consulte la documentación de SQL Server.

1. En el controlador de dominio de SQL Server, use el Asistente para nueva confianza para crear una relación de confianza con las siguientes propiedades:

   • Nombre: ORCH.com

   • Dirección: Bidireccional

   • Opciones: Este dominio únicamente

   • Nivel de autenticación de confianza saliente: dominio local: Autenticación selectiva

   • Contraseña: Elección de una contraseña

   • Confirmar confianza externa: Sí

   • Confirmar confianza entrante: No

2. En el controlador de dominio de ORCH.com, use el Asistente para nueva confianza para crear una relación de confianza con las siguientes propiedades:

   • Nombre: SQL.com

   • Dirección: Bidireccional

   • Ámbitos: Sólo este dominio

   • Nivel de autenticación de confianza saliente: dominio local: Autenticación selectiva

   • Contraseña: Debe ser igual que la contraseña para ORCH.com

   • Confirmar confianza saliente: Sí

   • Confirmar confianza entrante: No

3. En el controlador de dominio de ORCH.com, establezca la confianza para todo el dominio de entrada desde SQL.COM.

4. En el controlador de dominio SQL.com, establezca la confianza para todo el dominio de salida para ORCH.COM.

5. En el controlador de dominio de ORCH.com, aumente el nivel funcional de dominio a Windows Server 2008 SP2 o Windows Server 2008 R2.

6. En el dominio ORCH, cree los siguientes usuarios:

   • ORCH\SSOSvcUser

   • ORCH\TestAppUser

   • ORCH\AffAppUser

7. Agregue Act como parte del sistema operativo a SSOSvcUser y TestAppUser.

8. Agregue el privilegio Permitir autenticar a ORCH\TestAdmin.

9. Agregue ORCH\SSOSvcUser a SQL2 en el dominio SQL. (Este paso requiere el uso de la vista avanzada en MMC de Active Directory).

10. En el equipo SQL2, cree los siguientes dos nuevos inicios de sesión:

    • ORCH\TestAdmin

    • ORCH\SSOSvcUser

11. En el dominio SQL2, cree dos grupos globales de dominio:

    • ORCH\SSOAdminGroup

    • ORCH\SSOAffAdminGroup

12. Agregue el privilegio Permitido para autenticar al grupo ORCH\SSOAdminGroup.

13. En la base de datos SQL2, cree el siguiente inicio de sesión:

    • ORCH\SSOAdminGroup

14. Instale el servidor secreto maestro de la siguiente manera:

    • Inicie sesión en NTS5 con ORCH\TestAdmin.

    • Instale ESSO mediante SQL2 como servidor secreto maestro.

15. Iniciar sesión en HIS1 con ORCH\TestAdmin e instalar Enterprise Single Sign-On. Configure ESSO como SSO para unirse a HIS2, usando el servidor de base de datos SQL2.

16. Instale la utilidad Enterprise Single Sign-On Admin en HIS3 mediante ORCH\TestAdmin.

17. Agregue los siguientes usuarios a los siguientes grupos:

    • Agregar ORCH\TestAppUser a ORCH\SSOAdminGroup

    • Agregar ORCH\AffAppUser a ORCH\TestAffUserGroup

18. Instalar SQL Server Enterprise Edition en HIS3, y agregar la cuenta de inicio de sesión ORCH\AffAppUser.

19. En el equipo HIS1, abra un símbolo del sistema y use los siguientes comandos para establecer la delegación limitada y la transición de protocolo:

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser

    • setspn -A MSSQLSvc/HIS3. ORCH.com:1433 ORCH\TestAppUser

20. En las páginas de propiedades ORCH\SSOSvcUser y ORCH\TestAppUser , establezca la delegación adecuada para ambas cuentas de usuario seleccionando las siguientes opciones:

    • Confiar solo en este usuario para delegar en los servicios especificados

    • Uso de cualquier protocolo de autenticación

21. Con ORCH\TestAdmin en el equipo HIS1, realice lo siguiente:

    • Agregar ORCH\TestAppUser al grupo de usuarios de Escritorio remoto

    • Conceder el privilegio Suplantar después de autenticado a ORCH\SSOSvcUser

    • Conceder el privilegio de suplantación tras ser autenticado a ORCH\TestAppUser

22. Compruebe la implementación iniciando sesión en HIS1 con ORCH\TestAppUser y ejecutando la siguiente configuración de la aplicación:

    Ejecute LogonExternalUser Test.

    <SSO>  
       <application name="TestApp">  
          <description>An SSO Test Affiliate Application</description>  
          <contact>AffAppUser@ESSOV2.EBiz.Com</contact>  
          <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount>  
          <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount>  
          <field ordinal="0" label="User ID" masked="no" />  
          <field ordinal="1" label="Password" masked="yes" />  
          <flags   
             groupApp="no"   
             configStoreApp="no"   
             allowTickets="no"   
             validateTickets="yes"   
             allowLocalGroups="yes"   
             ticketTimeout="yes"   
             adminGroupSame="no"   
             enableApp="yes"   
             hostInitiatedSSO="yes"   
             validatePassword="yes"/>  
       </application>  
    </SSO>  
    
    

Véase también

Introducción a la implementación de SSO