Перейти к содержанию

Настройка SSO аутентификации

Чтобы настроить SSO-аутентификацию через Windows: 

1. Для начала настройте синхронизацию с Active Directory (см. Настройка Active Directory).

2. Затем необходимо настроить сервер приложений.

2.1. Создайте доменного пользователя, под которым будет запускаться соответствующий приложению Application Pool в Internet Information Services (IIS). Добавьте созданного пользователя в локальную группу Backup operators (выполняется на сервере, где установлен продукт) и предоставить права локального администратора на сервере. После добавления пользователя в локальную группу Backup operators выполните обновление локальных групповых политик командой gpupdate.

2.2. Откройте созданного пользователя в оснастке Active Directory Users and Computers и во вкладке Attribute Editor присвойте значение HTTP/sitename атрибуту servicePrincipalName, где sitename — имя хоста, по которому осуществляется доступ к приложению.

2.3. Перейдите в консоль управления IIS и выполните настройку Application pool приложения Comindware, изменив пользователя, от имени которого будет запускаться Application pool, на ранее созданного пользователя.

Изменение пользователя в настройках приложения

Изменение пользователя в настройках приложения

2.4. Предоставьте полные права созданному пользователю на каталоги исполняемых файлов приложения и базы данных.

2.5. Перезапустите сайт и Application Pool.

3. Далее необходимо настроить клиента.

По умолчанию SSO-аутентификация работает в Google Chrome, необходимо только в параметрах безопасности браузера добавить сайт в «Intranet zone» и включить опцию «Automatic logon only in Intranet zone».

Настройка клиента

Настройка клиента

Для настройки сторонних браузеров необходимо воспользоваться соответствующей документацией.

4. Затем перейдите в консоль управления IIS, затем выберите сервер (см. скриншот ниже), далее вкладку «Sites», затем выберите сайт вашей продуктивной среды.

Настройка SSO

Настройка SSO

После этого перейдите в «Authentication» и переведите все пункты (см. скриншот ниже) в статус «Disabled», кроме «Windows Authentication», этот пункт должен быть в статусе «Enabled».

Включение Windows Authentication

Включение Windows Authentication

5. Затем перейдите в папку, где лежит база вашего экземпляра продукта, в папку Config. Обычно она находится по следующему пути: C:\ProgramData\Comindware\Instances\Test \Config. Затем откройте документ Web config или Web (файл можно открыть через приложение «Блокнот»). В открывшемся окне найдите строчку <authentication mode="None"/> (16 строчка) и поменяйте значение None на Windows. В конечном итоге должно получиться: <authentication mode=" Windows "/>. После этого перезапустите сайт и Application Pool.

6. Если сервер приложений был установлен вручную, то перейдите в панель управления, затем в «Программы и компоненты», после этого нажмите на «Включение или отключение компонентов Windows». В открывшемся окне нажимайте далее, до этапа «Server roles». На этом этапе необходимо проверить, чтобы в «Web Server (IIS)» были установлены 27 из 43 компонентов. Для удобства ниже приведен весь список компонентов, которые обязательно должны быть установлены.

Список необходимых компонентов

Список необходимых компонентов

7. После проверки всех «Roles», нажмите далее, а затем в «Features» проверьте, чтобы обязательно были установлены 3 из 7 компонентов в «NET Framework» со скриншота ниже.

Список необходимых компонентов

Список необходимых компонентов

8. Когда все «Features» установлены, завершите настройку, не изменяя далее ничего, после чего перезагрузите компьютер.