私は自分の組織で Azure SSO を実現しようとしています。複数の Web サイトとそれらのサイトの下にある Web アプリケーションをホストする Web サーバーがあります。ユーザーは以下の方法でそれらにアクセスします。
https:// < SiteName > / < ApplicationName > /
異なるアプリケーション用に構成されたサービス アカウントがあります。つまり、単一の「Web サイト」に対して複数のサービス アカウントがあり、異なるアプリケーションに同じサービス アカウントが使用されています。
Azure SSO を実現するには、サービス アカウントの SPN を構成する必要がありますが、Microsoft の規定により、同じ SPN を複数のサービス アカウントに割り当てることはできません。
spnを設定するには以下のコマンドを使用します
Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username
Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username
すべてのサービス アカウントに同じ FQDN/NetBIOS 名を割り当てるにはどうすればよいですか?
Web サイトに DNS 名を使用する場合でも、複数のサービス アカウントに同じ spn を割り当てる必要があります。
答え1
はい、これは SPN の基本的な問題です。単一のサーバー上の URL に対して複数の SPN を持つことはできません。したがって、単一の Web サイトでさまざまなアプリを実行し、委任または SSO を使用する必要がある場合、それらはすべて同じサービス アカウントで実行する必要があります。そのため、その URL に対して単一の SPN を登録できます。
それが不可能な場合は、異なるURL(URLのSPNを設定した場合)の同じサーバー上で異なるサービスアカウントを使用してアプリをホストするか、サーバー名の使用に制限がある場合は別のサーバーでホストする必要があります。