Настройка SSO аутентификации
Чтобы настроить SSO-аутентификацию через Windows:
1. Для начала настройте синхронизацию с Active Directory (см. Настройка Active Directory).
2. Затем необходимо настроить сервер приложений.
2.1. Создайте доменного пользователя, под которым будет запускаться соответствующий приложению Application Pool в Internet Information Services (IIS). Добавьте созданного пользователя в локальную группу Backup operators (выполняется на сервере, где установлен продукт) и предоставить права локального администратора на сервере. После добавления пользователя в локальную группу Backup operators выполните обновление локальных групповых политик командой gpupdate
.
2.2. Откройте созданного пользователя в оснастке Active Directory Users and Computers и во вкладке Attribute Editor присвойте значение HTTP/sitename
атрибуту servicePrincipalName
, где sitename
— имя хоста, по которому осуществляется доступ к приложению.
2.3. Перейдите в консоль управления IIS и выполните настройку Application pool приложения Comindware, изменив пользователя, от имени которого будет запускаться Application pool, на ранее созданного пользователя.
2.4. Предоставьте полные права созданному пользователю на каталоги исполняемых файлов приложения и базы данных.
2.5. Перезапустите сайт и Application Pool.
3. Далее необходимо настроить клиента.
По умолчанию SSO-аутентификация работает в Google Chrome, необходимо только в параметрах безопасности браузера добавить сайт в «Intranet zone» и включить опцию «Automatic logon only in Intranet zone».
После этого перейдите в «Authentication» и переведите все пункты (см. скриншот ниже) в статус «Disabled», кроме «Windows Authentication», этот пункт должен быть в статусе «Enabled».
5. Затем перейдите в папку, где лежит база вашего экземпляра продукта, в папку Config
. Обычно она находится по следующему пути: C:\ProgramData\Comindware\Instances\Test \Config
. Затем откройте документ Web config
или Web
(файл можно открыть через приложение «Блокнот»). В открывшемся окне найдите строчку <authentication mode="None"/>
(16 строчка) и поменяйте значение None
на Windows
. В конечном итоге должно получиться: <authentication mode=" Windows "/>
. После этого перезапустите сайт и Application Pool.
6. Если сервер приложений был установлен вручную, то перейдите в панель управления, затем в «Программы и компоненты», после этого нажмите на «Включение или отключение компонентов Windows». В открывшемся окне нажимайте далее, до этапа «Server roles». На этом этапе необходимо проверить, чтобы в «Web Server (IIS)» были установлены 27 из 43 компонентов. Для удобства ниже приведен весь список компонентов, которые обязательно должны быть установлены.
7. После проверки всех «Roles», нажмите далее, а затем в «Features» проверьте, чтобы обязательно были установлены 3 из 7 компонентов в «NET Framework» со скриншота ниже.
8. Когда все «Features» установлены, завершите настройку, не изменяя далее ничего, после чего перезагрузите компьютер.