Freigeben über

Bereitstellungsprozess

  • Artikel

Die folgenden Schritte geben einen allgemeinen Überblick über die sichere Bereitstellung von Enterprise Single Sign-On (SSO). Ausführliche Verfahren zu den in SQL Server zu ergreifenden Maßnahmen finden Sie in der SQL Server-Dokumentation.

  1. Verwenden Sie auf dem SQL Server Domänencontroller den Assistenten für neue Vertrauensstellungen, um eine Vertrauensstellung mit den folgenden Eigenschaften zu erstellen:

    • Name: ORCH.com

    • Richtung: Bidirektionale

    • Seiten: Nur diese Domäne

    • Authentifizierungsebene für ausgehende Vertrauensstellung – Lokale Domäne: Selektive Authentifizierung

    • Passwort: Auswählen eines Kennworts

    • Bestätigen der ausgehenden Vertrauensstellung: Ja

    • Bestätigen der eingehenden Vertrauensstellung: Nein

  2. Verwenden Sie auf dem ORCH.com Domänencontroller den Assistenten für neue Vertrauensstellungen , um eine Vertrauensstellung mit den folgenden Eigenschaften zu erstellen:

    • Name: SQL.com

    • Richtung: Bidirektionale

    • Seiten: Nur diese Domäne

    • Authentifizierungsebene für ausgehende Vertrauensstellung – Lokale Domäne: Selektive Authentifizierung

    • Passwort: Muss mit dem Kennwort für ORCH.com identisch sein

    • Bestätigen der ausgehenden Vertrauensstellung: Ja

    • Bestätigen der eingehenden Vertrauensstellung: Nein

  3. Legen Sie auf dem ORCH.com Domänencontroller die domänenweite Vertrauensstellung für Incoming from SQL.COM fest.

  4. Legen Sie auf dem SQL.com Domänencontroller die domänenweite Vertrauensstellung für Ausgehend von ORCH.COM fest.

  5. Heben Sie auf dem ORCH.com Domänencontroller die Domänenfunktionsebene auf Windows Server 2003 an.

  6. Erstellen Sie in der Domäne ORCH die folgenden neuen Benutzer:

    • ORCH\SSOSvcUser

    • ORCH\TestAppUser

    • ORCH\AffAppUser

  7. Fügen Sie "Act" als Teil des Betriebssystems zu SSOSvcUser und TestAppUser hinzu.

  8. Fügen Sie ORCH\TestAdmin die Berechtigung Zulässige Authentifizierung hinzu.

  9. Fügen Sie in der Domäne SQL dem Computer SQL2 den Benutzer ORCH\SSOSvcUser hinzu. Dieser Schritt erfordert die Verwendung der erweiterten Ansicht in der Active Directory Microsoft Management Console (MMC).

  10. Erstellen Sie auf dem SQL2-Computer die folgenden beiden neuen Anmeldungen:

    • ORCH\TestAdmin

    • ORCH\SSOSvcUser

  11. Erstellen Sie in der Domäne SQL2 zwei globale Domänengruppen:

    • ORCH\SSOAdminGroup

    • ORCH\SSOAffAdminGroup

  12. Fügen Sie der Gruppe ORCH\SSOAdminGroup die Berechtigung Zulässige Authentifizierung hinzu.

  13. Erstellen Sie in der SQL2-Datenbank die folgende neue Anmeldung:

    • ORCH\SSOAdminGroup

  14. Installieren Sie den master Geheimserver wie folgt:

    • Melden Sie sich mit ORCH\TestAdmin bei NTS5 an.

    • Installieren Sie das einmalige Anmelden von Enterprise mithilfe von SQL2 als master Geheimserver.

  15. Melden Sie sich mit ORCH\TestAdmin bei HIS1 an, und installieren Sie Enterprise Single Sign-On. Konfigurieren Sie Einmaliges Anmelden für Unternehmen für SSO, lassen Sie HIS2 beitreten, und verwenden Sie dabei den Datenbankservernamen SQL2.

  16. Installieren Sie das SSO-Verwaltungshilfsprogramm auf HIS3, und verwenden Sie dabei den Anmeldenamen ORCH\TestAdmin.

  17. Fügen Sie den folgenden Gruppen die folgenden Benutzer hinzu:

    • Fügen Sie der Gruppe ORCH\SSOAdminGroup den Benutzer ORCH\TestAppUser hinzu.

    • Fügen Sie der Gruppe ORCH\TestAffUserGroup den Benutzer ORCH\AffAppUser hinzu.

  18. Installieren Sie SQL Server 2000a Enterprise auf HIS3, und fügen Sie die Anmeldung ORCH\AffAppUser hinzu.

  19. Öffnen Sie auf dem HIS1-Computer eine Eingabeaufforderung, und verwenden Sie die folgenden Befehle, um die Delegierung und den Protokollübergang einzuschränken:

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\TestAppUser

  20. Legen Sie auf den Eigenschaftenseiten ORCH\SSOSvcUser und ORCH\TestAppUser die richtige Delegierung für beide Benutzerkonten fest, indem Sie die folgenden Optionen auswählen:

    • Benutzer bei Delegierungen angegebener Dienste vertrauen

    • Beliebiges Authentifizierungsprotokoll verwenden

  21. Führen Sie auf dem Computer HIS1 unter Verwendung des Anmeldenamens ORCH\TestAdmin die folgenden Aktionen aus:

    • Fügen Sie ORCH\TestAppUser zur Remotedesktopbenutzergruppe hinzu.

    • Gewähren Sie nach der Authentifizierung die Berechtigung "Identitätswechsel" für ORCH\SSOSvcUser.

    • Gewähren Sie den Identitätswechsel nach der Authentifizierung für ORCH\TestAppUser.

  22. Überprüfen Sie Ihre Bereitstellung, indem Sie sich mit ORCH\TestAppUser bei HIS1 anmelden und die folgende Anwendungskonfiguration ausführen:

    Führen Sie den Test LogonExternalUser aus.

    <SSO>  
   <application name="TestApp">  
      <description>An SSO Test Affiliate Application</description>  
      <contact>AffAppUser@ESSOV2.EBiz.Com</contact>  
      <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount>  
      <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount>  
      <field ordinal="0" label="User ID" masked="no" />  
      <field ordinal="1" label="Password" masked="yes" />  
      <flags   
         groupApp="no"   
         configStoreApp="no"   
         allowTickets="no"   
         validateTickets="yes"   
         allowLocalGroups="yes"   
         ticketTimeout="yes"   
         adminGroupSame="no"   
         enableApp="yes"   
         hostInitiatedSSO="yes"   
         validatePassword="yes"/>  
   </application>  
</SSO>

Weitere Informationen

Übersicht über die Bereitstellung