英語で読む

次の方法で共有


展開プロセス

次の手順は、エンタープライズ シングル サインオンの、セキュリティで保護された展開の概要です。 SQL Server で実行する操作の詳細な手順については、SQL Server のドキュメントを参照してください。

  1. SQL Server ドメイン コントローラで、新しい信頼ウィザードを実行して、次のプロパティを指定した信頼関係を作成します。

    • 名前: ORCH.com

    • 方向: 双 方向

    • 側面: このドメインのみ

    • 送信信頼認証レベル - ローカル ドメイン: 選択的認証

    • パスワード: パスワードを選択する

    • 送信信頼の確認: はい

    • 受信信頼の確認: いいえ

  2. ORCH.com ドメイン コントローラで新しい信頼ウィザードを実行し、次のプロパティを指定した信頼関係を作成します。

    • 名前: SQL.com

    • 方向: 双 方向

    • 側面: このドメインのみ

    • 送信信頼認証レベル - ローカル ドメイン: 選択的認証

    • パスワード: ORCH.com のパスワードと同じである必要があります

    • 送信信頼の確認: はい

    • 受信信頼の確認: いいえ

  3. ORCH.com ドメイン コントローラで、SQL.com からの着信に対してドメイン レベルの信頼関係を設定します。

  4. SQL.com ドメイン コントローラで、ORCH.com からの送信に対してドメイン レベルの信頼関係を設定します。

  5. ORCH.com ドメイン コントローラーで、ドメインの機能レベルを Windows Server 2008 SP2 または Windows Server 2008 R2 に上げます。

  6. ORCH.com ドメインに次の新しいユーザーを作成します。

    • ORCH\SSOSvcUser

    • ORCH\TestAppUser

    • ORCH\AffAppUser

  7. オペレーティング システムの一部として Act を SSOSvcUser と TestAppUser に追加します。

  8. ORCH\TestAdmin に認証 権限の許可を追加します。

  9. ORCH\SSOSvcUser ユーザーを SQL.com ドメインの SQL2 コンピューターに追加します (この手順では、Active Directory MMC の詳細ビューを使用する必要があります)。

  10. SQL2 コンピュータに、次の 2 つの新しいログインを作成します。

    • ORCH\TestAdmin

    • ORCH\SSOSvcUser

  11. SQL2 ドメインに、次の 2 つのドメイン グローバル グループを作成します。

    • ORCH\SSOAdminGroup

    • ORCH\SSOAffAdminGroup

  12. ORCH\SSOAdminGroup グループに認証権限の 許可 を追加します。

  13. SQL2 データベースに、次の新しいログインを作成します。

    • ORCH\SSOAdminGroup
  14. 次の手順に従って、マスタ シークレット サーバーをインストールします。

    • ORCH\TestAdmin を使用して NTS5 にログオンします。

    • SQL2 コンピュータをマスタ シークレット サーバーとして使用して、ESSO をインストールします。

  15. ORCH\TestAdmin を使用して HIS1 にログオンし、エンタープライズ シングル サインオンをインストールします。 データベース サーバー名 SQL2 を使用して、ESSO を HIS2 に参加する SSO として構成します。

  16. ORCH\TestAdmin を使用して HIS3 にエンタープライズ シングル サインオンの管理ユーティリティをインストールします。

  17. 次のようにユーザーをグループに追加します。

    • ORCH\TestAppUser ユーザーを ORCH\SSOAdminGroup グループに追加します

    • ORCH\AffAppUser ユーザーを ORCH\TestAffUserGroup グループに追加します

  18. HIS3 に SQL Server Enterprise Edition をインストールし、ログイン ORCH\AffAppUser を追加します。

  19. HIS1 コンピュータでコマンド プロンプトを開き、次のコマンドを使用して制約付き委任とプロトコル遷移を設定します。

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\TestAppUser

  20. ORCH\SSOSvcUser プロパティ ページと ORCH\TestAppUser プロパティ ページで、次のオプションを選択して、両方のユーザー アカウントに適切な委任を設定します。

    • 指定されたサービスへの委任でのみこのユーザーを信頼する

    • 任意の認証プロトコルを使う

  21. ORCH\TestAdmin を使用して、HIS1 コンピュータで次の手順を実行します。

    • ORCH\TestAppUser を Remote Desktop User グループに追加します。

    • ORCH\SSOSvcUser に 認証された特権の後に Impersonate を付与する

    • ORCH\TestAppUser に 認証された特権の後に Impersonate を付与する

  22. ORCH\TestAppUser を使用して HIS1 にログオンし、次のアプリケーション構成を実行して、展開の状態を確認します。

    LogonExternalUser テストを実行します。

    <SSO>  
       <application name="TestApp">  
          <description>An SSO Test Affiliate Application</description>  
          <contact>AffAppUser@ESSOV2.EBiz.Com</contact>  
          <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount>  
          <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount>  
          <field ordinal="0" label="User ID" masked="no" />  
          <field ordinal="1" label="Password" masked="yes" />  
          <flags   
             groupApp="no"   
             configStoreApp="no"   
             allowTickets="no"   
             validateTickets="yes"   
             allowLocalGroups="yes"   
             ticketTimeout="yes"   
             adminGroupSame="no"   
             enableApp="yes"   
             hostInitiatedSSO="yes"   
             validatePassword="yes"/>  
       </application>  
    </SSO>  
    
    

参照

SSO 展開の概要