部署过程
以下步骤对企业单一登录的安全部署进行了高级概述。 有关在 SQL Server 中执行操作的详细过程,请参阅 SQL Server 文档。
在 SQL Server 域控制器上,使用新建信任向导可创建具有以下属性的信任:
名称: ORCH.com
方向: 双向
双方: 仅此域
传出信任身份验证级别 - 本地域: 选择性身份验证
密码: 选择密码
确认传出信任: 是的
确认传入信任: 不
在 ORCH.com 域控制器上,使用新建信任向导可创建具有以下属性的信任:
名称: SQL.com
方向: 双向
双方: 仅此域
传出信任身份验证级别 - 本地域: 选择性身份验证
密码: 必须与 ORCH.com 的密码相同
确认传出信任: 是的
确认传入信任: 不
在 ORCH.com 域控制器上,为从 SQL.COM 的传入通信设置域范围信任。
在 SQL.com 域控制器上,为从 ORCH.COM 的传出通信设置域范围信任。
在 ORCH.com 域控制器上,将域功能级别提升到 Windows Server 2008 SP2 或 Windows Server 2008 R2。
在 ORCH 域中,创建以下新用户:
ORCH\SSOSvcUser
ORCH\TestAppUser
ORCH\AffAppUser
将 Act 作为操作系统的一部分 添加到 SSOSvcUser 和 TestAppUser。
将 “允许进行身份验证” 权限添加到 ORCH\TestAdmin。
将 ORCH\SSOSvcUser 添加到 SQL 域的 SQL2 中。 (此步骤需要使用 Active Directory MMC 中的高级视图。)
在 SQL2 计算机上,创建以下两个新登录名:
ORCH\TestAdmin
ORCH\SSOSvcUser
在 SQL2 域上,创建两个域全局组:
ORCH\SSOAdminGroup
ORCH\SSOAffAdminGroup
将 “允许进行身份验证” 权限添加到 ORCH\SSOAdminGroup 组。
在 SQL2 数据库上,创建以下新登录名:
- ORCH\SSOAdminGroup
按照以下步骤安装主密钥服务器:
使用 ORCH\TestAdmin 登录到 NTS5。
将 SQL2 用作主密钥服务器以安装 ESSO。
使用 ORCH\TestAdmin 登录到 HIS1,然后安装企业单一登录。 使用数据库服务器名称 SQL2 来将 ESSO 配置为 SSO 联接 HIS2。
使用 ORCH\TestAdmin 在 HIS3 上安装企业单一登录管理实用工具。
将以下用户添加到以下组中:
将 ORCH\TestAppUser 添加到 ORCH\SSOAdminGroup 中
将 ORCH\AffAppUser 添加到 ORCH\TestAffUserGroup 中
在 HIS3 上安装 SQL Server Enterprise Edition,并添加登录名 ORCH\AffAppUser。
在 HIS1 计算机上,打开命令提示符,使用以下命令设置约束委托和协议转换:
setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser
setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\TestAppUser
在 ORCH\SSOSvcUser 和 ORCH\TestAppUser 属性页上,通过选择以下选项为两个用户帐户设置适当的委派:
信任此用户将权限仅委派给指定服务
使用任何身份验证协议
在 HIS1 计算机上使用 ORCH\TestAdmin,执行以下操作:
将 ORCH\TestAppUser 添加到远程桌面用户组中
在 经过身份验证后 向 ORCH\SSOSvcUser 授予模拟权限
在 经过身份验证后 向 ORCH\TestAppUser 授予模拟权限
通过使用 ORCH\TestAppUser 登录到 HIS1 并运行以下应用程序配置,以验证您的部署:
运行 LogonExternalUser 测试。
<SSO> <application name="TestApp"> <description>An SSO Test Affiliate Application</description> <contact>AffAppUser@ESSOV2.EBiz.Com</contact> <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount> <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount> <field ordinal="0" label="User ID" masked="no" /> <field ordinal="1" label="Password" masked="yes" /> <flags groupApp="no" configStoreApp="no" allowTickets="no" validateTickets="yes" allowLocalGroups="yes" ticketTimeout="yes" adminGroupSame="no" enableApp="yes" hostInitiatedSSO="yes" validatePassword="yes"/> </application> </SSO>