Partager via


Processus de déploiement

La procédure suivante donne une vue d'ensemble du déploiement sécurisé de l'authentification unique de l'entreprise. Pour obtenir des procédures détaillées relatives aux actions à effectuer dans SQL Server, consultez la documentation SQL Server.

  1. Dans le contrôleur de domaine SQL Serveur, utilisez l'Assistant Nouvelle approbation pour créer une approbation dotée des propriétés suivantes :

    • Nom : ORCH.com

    • Direction: Bidirectionnel

    • Côtés: Ce domaine uniquement

    • Niveau d’authentification de confiance sortante - Domaine local : Authentification sélective

    • Mot de passe: Choisir un mot de passe

    • Confirmez l’approbation sortante : Oui

    • Confirmer l’approbation entrante : Non

  2. Dans le contrôleur de domaine ORCH.com, utilisez l'Assistant Nouvelle approbation pour créer une approbation dotée des propriétés suivantes :

    • Nom : SQL.com

    • Direction: Bidirectionnel

    • Côtés: Ce domaine uniquement

    • Niveau d’authentification de confiance sortante - Domaine local : Authentification sélective

    • Mot de passe: Doit être identique au mot de passe pour ORCH.com

    • Confirmez l’approbation sortante : Oui

    • Confirmer l’approbation entrante : Non

  3. Dans le contrôleur de domaine ORCH.com, définissez l'approbation du domaine pour les entrées provenant de SQL.COM.

  4. Dans le contrôleur de domaine SQL.com, définissez l'approbation du domaine pour les sorties provenant de ORCH.COM.

  5. Dans le contrôleur de domaine ORCH.com, élevez le niveau fonctionnel du domaine à Windows Server 2008 SP2 ou Windows Server 2008 R2.

  6. Dans le domaine ORCH, créez les utilisateurs suivants :

    • ORCH\SSOSvcUser

    • ORCH\TestAppUser

    • ORCH\AffAppUser

  7. Ajoutez Act dans le cadre du système d’exploitation à SSOSvcUser et TestAppUser.

  8. Ajoutez le privilège Autorisé pour authentifier à ORCH\TestAdmin.

  9. Ajoutez ORCH\SSOSvcUser à SQL2 dans le domaine SQL. (Cette étape nécessite l'utilisation de la vue avancée dans Active Directory MMC.)

  10. Créez les deux comptes de connexion suivants sur l'ordinateur SQL2 :

    • ORCH\TestAdmin

    • ORCH\SSOSvcUser

  11. Créez les deux groupes globaux de domaine sur le domaine SQL2 :

    • ORCH\SSOAdminGroup

    • ORCH\SSOAffAdminGroup

  12. Ajoutez le privilège Autorisé pour authentifier au groupe ORCH\SSOAdminGroup.

  13. Créez le compte de connexion suivant sur la base de données SQL2 :

    • ORCH\SSOAdminGroup
  14. Installez le serveur de secret principal comme suit :

    • Ouvrez une session sur NTS5 à l'aide de ORCH\TestAdmin.

    • Installez l'authentification unique de l'entreprise en utilisant SQL2 en tant que serveur de secret principal.

  15. Ouvrez une session sur HIS1 à l'aide de ORCH\TestAdmin, puis installez l'authentification unique de l'entreprise. Configurez l'authentification unique de l'entreprise en tant qu'ajout SSO à HIS2 en utilisant le nom du serveur de base de données SQL2.

  16. Installez l'utilitaire d'administration de l'authentification unique de l'entreprise sur HIS3 à l'aide de ORCH\TestAdmin.

  17. Ajoutez les utilisateurs suivants aux groupes suivants :

    • Ajoutez ORCH\TestAppUser à ORCH\SSOAdminGroup.

    • Ajoutez ORCH\AffAppUser à ORCH\TestAffUserGroup.

  18. Installez SQL Server Entreprise Edition sur HIS3, puis ajoutez le compte de connexion ORCH\AffAppUser.

  19. Sur l'ordinateur HIS1, ouvrez une invite de commandes et utilisez les commandes suivantes pour définir la délégation contrainte et la transition de protocole :

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\TestAppUser

  20. Dans les pages de propriétés ORCH\SSOSvcUser et ORCH\TestAppUser , définissez la délégation appropriée pour les deux comptes d’utilisateur en sélectionnant les options suivantes :

    • N'approuver cet utilisateur que pour la délégation aux services spécifiés

    • Utiliser tout protocole d’authentification

  21. À l'aide de ORCH\TestAdmin sur l'ordinateur HIS1, procédez comme suit :

    • Ajoutez ORCH\TestAppUser au groupe d'utilisateurs du bureau distant.

    • Accorder l’emprunt d’identité après un privilège authentifié à ORCH\SSOSvcUser

    • Accorder l’emprunt d’identité après un privilège authentifié à ORCH\TestAppUser

  22. Vérifiez votre déploiement en ouvrant une session sur HIS1 à l'aide de ORCH\TestAppUser et en exécutant la configuration d'application suivante :

    Exécutez le test LogonExternalUser.

    <SSO>  
       <application name="TestApp">  
          <description>An SSO Test Affiliate Application</description>  
          <contact>AffAppUser@ESSOV2.EBiz.Com</contact>  
          <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount>  
          <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount>  
          <field ordinal="0" label="User ID" masked="no" />  
          <field ordinal="1" label="Password" masked="yes" />  
          <flags   
             groupApp="no"   
             configStoreApp="no"   
             allowTickets="no"   
             validateTickets="yes"   
             allowLocalGroups="yes"   
             ticketTimeout="yes"   
             adminGroupSame="no"   
             enableApp="yes"   
             hostInitiatedSSO="yes"   
             validatePassword="yes"/>  
       </application>  
    </SSO>  
    
    

Voir aussi

Vue d’ensemble du déploiement de l’authentification unique