部署过程

以下步骤简要概述了企业单一 Sign-On (SSO) 的安全部署。 有关SQL Server中要执行的操作的详细过程，请参阅SQL Server文档。

1. 在SQL Server域控制器上，使用“新建信任向导”创建具有以下属性的信任：

   • 名称： ORCH.com

   • 方向： 双向

   • 双方： 仅此域

   • 传出信任身份验证级别 - 本地域： 选择性身份验证

   • 密码： 选择密码

   • 确认传出信任： 是的

   • 确认传入信任： 不

2. 在 ORCH.com 域控制器上，使用 “新建信任向导” 创建具有以下属性的信任：

   • 名称： SQL.com

   • 方向： 双向

   • 双方： 仅此域

   • 传出信任身份验证级别 - 本地域： 选择性身份验证

   • 密码： 必须与 ORCH.com 的密码相同

   • 确认传出信任： 是的

   • 确认传入信任： 不

3. 在 ORCH.com 域控制器上，设置来自 SQL.COM 的传入的域范围信任。

4. 在 SQL.com 域控制器上，设置从 ORCH.COM 传出的域范围信任。

5. 在 ORCH.com 域控制器上，将域功能级别提升到 Windows Server 2003。

6. 在 ORCH 域中，创建以下新用户：

   • ORCH\SSOSvcUser

   • ORCH\TestAppUser

   • ORCH\AffAppUser

7. 将 Act 作为操作系统的一部分 添加到 SSOSvcUser 和 TestAppUser。

8. 将 “允许进行身份验证” 权限添加到 ORCH\TestAdmin。

9. 将 ORCH\SSOSvcUser 添加到 SQL 域的 SQL2 中。 此步骤需要使用 Active Directory Microsoft 管理控制台中的高级视图 (MMC) 。

10. 在 SQL2 计算机上，创建以下两个新登录：

    • ORCH\TestAdmin

    • ORCH\SSOSvcUser

11. 在 SQL2 域上，创建两个域全局组：

    • ORCH\SSOAdminGroup

    • ORCH\SSOAffAdminGroup

12. 将 “允许进行身份验证” 权限添加到 ORCH\SSOAdminGroup 组。

13. 在 SQL2 数据库上，创建以下新登录：

    • ORCH\SSOAdminGroup

14. 按如下所示安装主机密服务器：

    • 使用 ORCH\TestAdmin 登录到 NTS5。

    • 安装企业 SSO，使用 SQL2 作为主机密服务器。

15. 使用 ORCH\TestAdmin 登录到 HIS1，并安装企业单一登录。 使用数据库服务器名称 SQL2 来将 ESSO 配置为 SSO 联接 HIS2。

16. 使用 ORCH\TestAdmin 在 HIS3 上安装企业单一登录管理实用工具。

17. 将以下用户添加到以下组中：

    • 将 ORCH\TestAppUser 添加到 ORCH\SSOAdminGroup 中

    • 将 ORCH\AffAppUser 添加到 ORCH\TestAffUserGroup 中

18. 在 HIS3 上安装 SQL Server 2000a Enterprise，并添加登录 ORCH\AffAppUser。

19. 在 HIS1 计算机上，打开命令提示符，并使用以下命令设置约束委派和协议转换：

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\SSOSvcUser

    • setspn -A MSSQLSvc/HIS3.ORCH.com:1433 ORCH\TestAppUser

20. 在 ORCH\SSOSvcUser 和 ORCH\TestAppUser 属性页上，通过选择以下选项为两个用户帐户设置适当的委派：

    • 信任此用户将权限仅委派给指定服务

    • 使用任何身份验证协议

21. 在 HIS1 计算机上使用 ORCH\TestAdmin，执行以下操作：

    • 将 ORCH\TestAppUser 添加到远程桌面用户组。

    • 在 经过身份验证后 向 ORCH\SSOSvcUser 授予模拟权限。

    • 在 经过身份验证后 向 ORCH\TestAppUser 授予模拟权限。

22. 使用 ORCH\TestAppUser 登录到 HIS1 并运行以下应用程序配置来验证部署：

    运行 LogonExternalUser 测试。

    <SSO>  
       <application name="TestApp">  
          <description>An SSO Test Affiliate Application</description>  
          <contact>AffAppUser@ESSOV2.EBiz.Com</contact>  
          <appUserAccount>ORCH\TestAffAdminGroup</appUserAccount>  
          <appAdminAccount>ORCH\TestAffUserGroup</appAdminAccount>  
          <field ordinal="0" label="User ID" masked="no" />  
          <field ordinal="1" label="Password" masked="yes" />  
          <flags   
             groupApp="no"   
             configStoreApp="no"   
             allowTickets="no"   
             validateTickets="yes"   
             allowLocalGroups="yes"   
             ticketTimeout="yes"   
             adminGroupSame="no"   
             enableApp="yes"   
             hostInitiatedSSO="yes"   
             validatePassword="yes"/>  
       </application>  
    </SSO>  
    
    

另请参阅

部署概述