Processo di distribuzione
La procedura seguente offre una panoramica generale sulla distribuzione sicura di Enterprise Single Sign-On. Per procedure dettagliate sulle operazioni da eseguire in SQL Server, vedere la documentazione di SQL Server.
Nel controller di dominio di SQL Server utilizzare la Creazione guidata nuova relazione di trust per creare una relazione di trust con le proprietà seguenti:
Nome: ORCH.com
Direzione: Bidirezionale
Lati: Solo questo dominio
Livello di autenticazione trust in uscita - Dominio locale: Autenticazione selettiva
Password: Scegliere una password
Conferma attendibilità in uscita: Sì
Conferma attendibilità in ingresso: No
Nel controller di dominio ORCH.com utilizzare la Creazione guidata nuova relazione di trust per creare una relazione di trust con le proprietà seguenti:
Nome: SQL.com
Direzione: Bidirezionale
Lati: Solo questo dominio
Livello di autenticazione trust in uscita - Dominio locale: Autenticazione selettiva
Password: Deve essere uguale alla password per ORCH.com
Conferma attendibilità in uscita: Sì
Conferma attendibilità in ingresso: No
Nel controller di dominio ORCH.com impostare la relazione di trust a livello di dominio per i trust in ingresso da SQL.COM.
Nel controller di dominio SQL.com impostare la relazione di trust a livello di dominio per i trust in uscita da ORCH.COM.
Nel controller di dominio ORCH.com aumentare il livello di funzionalità del dominio a Windows Server 2008 SP2 o Windows Server 2008 R2.
Nel dominio ORCH creare i nuovi utenti seguenti:
ORCH\SSOSvcUser
ORCH\TestAppUser
ORCH\AffAppUser
Aggiungere Act come parte del sistema operativo a SSOSvcUser e TestAppUser.
Aggiungere privilegi consentiti per l'autenticazione a ORCH\TestAdmin.
Aggiungere ORCH\SSOSvcUser a SQL2 nel dominio di SQL (questo passaggio richiede l'utilizzo della Vista avanzata nella MMC di Active Directory).
Nel computer SQL2 creare i due nuovi account di accesso seguenti:
ORCH\TestAdmin
ORCH\SSOSvcUser
Nel dominio di SQL2 creare due gruppi globali di dominio:
ORCH\SSOAdminGroup
ORCH\SSOAffAdminGroup
Aggiungere privilegi consentiti per l'autenticazione al gruppo ORCH\SSOAdminGroup.
Nel database di SQL2 creare il nuovo account di accesso seguente:
- ORCH\SSOAdminGroup
Installare il server master secret come segue:
Accedere a NTS5 utilizzando ORCH\TestAdmin.
Installare ESSO utilizzando SQL2 come server master secret.
Accedere a HIS1 utilizzando ORCH\TestAdmin e installare Enterprise Single Sign-On. Configurare ESSO come join SSO HIS2, utilizzando il nome del server di database SQL2.
Installare l'utilità di amministrazione di Enterprise Single Sign-su HIS3 utilizzando ORCH\TestAdmin.
Aggiungere gli utenti seguenti per i gruppi seguenti:
Aggiungere ORCH\TestAppUser a ORCH\SSOAdminGroup
Aggiungere ORCH\AffAppUser a ORCH\TestAffUserGroup
Installare SQL Server Enterprise Edition su HIS3 e aggiungere l'account di accesso ORCH\AffAppUser.
Nel computer HIS1 aprire il prompt dei comandi e utilizzare i comandi seguenti per impostare la delega vincolata e la transizione del protocollo:
setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser
setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\TestAppUser
Nelle pagine delle proprietà ORCH\SSOSvcUser e ORCH\TestAppUser impostare la delega appropriata per entrambi gli account utente selezionando le opzioni seguenti:
Utente attendibile per la delega solo ai servizi specificati
Use any authentication protocol
Utilizzando ORCH\TestAdmin nel computer HIS1, effettuare le operazioni seguenti:
Aggiungere ORCH\TestAppUser al gruppo Utenti desktop remoto
Concedere la rappresentazione dopo l'autenticazione dei privilegi a ORCH\SSOSvcUser
Concedere la rappresentazione dopo l'autenticazione dei privilegi a ORCH\TestAppUser
Verificare la distribuzione accedendo a HIS1 tramite ORCH\TestAppUser ed eseguendo la configurazione dell'applicazione seguente:
Eseguire il test LogonExternalUser.
<SSO> <application name="TestApp"> <description>An SSO Test Affiliate Application</description> <contact>AffAppUser@ESSOV2.EBiz.Com</contact> <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount> <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount> <field ordinal="0" label="User ID" masked="no" /> <field ordinal="1" label="Password" masked="yes" /> <flags groupApp="no" configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalGroups="yes" ticketTimeout="yes" adminGroupSame="no" enableApp="yes" hostInitiatedSSO="yes" validatePassword="yes"/> </application> </SSO>