部署程序

下列步驟提供 Enterprise Single Sign-On (SSO) 安全部署的概觀。 如需SQL Server中要採取之動作的詳細程式，請參閱SQL Server檔。

1. 在SQL Server網域控制站上，使用 [新增信任精靈] 建立具有下列屬性的信任：

   • 名稱： ORCH.com

   • 方向： 雙向

   • 雙方： 僅限此網域

   • 傳出信任驗證層級 - 本機網域： 選擇性驗證

   • 密碼： 選擇密碼

   • 確認傳出信任： 是的

   • 確認傳入信任： 不

2. 在 ORCH.com 網域控制站上，使用 [ 新增信任精靈 ] 建立具有下列屬性的信任：

   • 名稱： SQL.com

   • 方向： 雙向

   • 雙方： 僅限此網域

   • 傳出信任驗證層級 - 本機網域： 選擇性驗證

   • 密碼： 必須與密碼相同，才能 ORCH.com

   • 確認傳出信任： 是的

   • 確認傳入信任： 不

3. 在 ORCH.com 網域控制站上，設定來自 SQL.COM 的全域信任。

4. 在 SQL.com 網域控制站上，為 [從 ORCH.COM 傳出] 設定全域信任。

5. 在 ORCH.com 網域控制站，將網域功能層級提升至 Windows Server 2003。

6. 在 ORCH 網域，建立下列新使用者：

   • ORCH\SSOSvcUser

   • ORCH\TestAppUser

   • ORCH\AffAppUser

7. 將 Act 新增為作業系統的一部分 至 SSOSvcUser 和 TestAppUser。

8. 將 [允許] 新增至 ORCH\TestAdmin 驗證許可權。

9. 將 ORCH\SSOSvcUser 新增至 SQL 網域的 SQL2。 此步驟需要在 Active Directory Microsoft Management Console 中使用進階檢視， (MMC) 。

10. 在 SQL2 電腦上，建立下列兩個新的登入：

    • ORCH\TestAdmin

    • ORCH\SSOSvcUser

11. 在 SQL2 網域，建立兩個網域全域群組：

    • ORCH\SSOAdminGroup

    • ORCH\SSOAffAdminGroup

12. 將 [允許] 驗證 許可權新增至 ORCH\SSOAdminGroup 群組。

13. 在 SQL2 資料庫上，建立下列新的登入：

    • ORCH\SSOAdminGroup

14. 安裝主要密碼伺服器，如下所示：

    • 使用 ORCH\TestAdmin 登入 NTS5。

    • 使用 SQL2 作為主要秘密伺服器來安裝 Enterprise SSO。

15. 使用 ORCH\TestAdmin 登入 HIS1，並安裝 Enterprise 單一登入。 使用資料庫伺服器名稱 SQL2，將 ESSO 設定為 SSO 聯結 HIS2。

16. 使用 ORCH\TestAdmin，在 HIS3 安裝「企業單一登入管理」公用程式。

17. 將下列使用者新增至以下群組：

    • 將 ORCH\TestAppUser 新增至 ORCH\SSOAdminGroup

    • 將 ORCH\AffAppUser 新增至 ORCH\TestAffUserGroup

18. 在 HIS3 上安裝 SQL Server 2000a Enterprise，並新增登入 ORCH\AffAppUser。

19. 在 HIS1 電腦上，開啟命令提示字元，並使用下列命令來設定限制委派和通訊協定轉換：

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\TestAppUser

20. 在 ORCH\SSOSvcUser 和 ORCH\TestAppUser 屬性頁面上，選取下列選項來設定這兩個使用者帳戶的適當委派：

    • 信任這個使用者，但只委派到指定的服務

    • 使用任何驗證通訊協定

21. 在 HIS1 電腦使用 ORCH\TestAdmin，執行下列工作：

    • 將 ORCH\TestAppUser 新增至遠端桌面使用者群組。

    • 將 已驗證 的許可權授與 ORCH\SSOSvcUser 之後的模擬。

    • 將 驗證 的許可權授與 ORCH\TestAppUser 之後的模擬。

22. 使用 ORCH\TestAppUser 登入 HIS1 並執行下列應用程式設定，以確認您的部署：

    執行 LogonExternalUser 測試。

    <SSO>  
       <application name="TestApp">  
          <description>An SSO Test Affiliate Application</description>  
          <contact>AffAppUser@ESSOV2.EBiz.Com</contact>  
          <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount>  
          <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount>  
          <field ordinal="0" label="User ID" masked="no" />  
          <field ordinal="1" label="Password" masked="yes" />  
          <flags   
             groupApp="no"   
             configStoreApp="no"   
             allowTickets="no"   
             validateTickets="yes"   
             allowLocalGroups="yes"   
             ticketTimeout="yes"   
             adminGroupSame="no"   
             enableApp="yes"   
             hostInitiatedSSO="yes"   
             validatePassword="yes"/>  
       </application>  
    </SSO>  
    
    

另請參閱

部署概觀