SPN-Generierung für mehrere Dienstkonten auf einem Webserver

SPN-Generierung für mehrere Dienstkonten auf einem Webserver

Ich versuche, Azure SSO in meiner Organisation zu implementieren. Ich habe einen Webserver, auf dem mehrere Websites und Webanwendungen gehostet werden. Benutzer greifen auf diese wie folgt zu

https:// < SiteName > / < ApplicationName > /

Wir haben ein Dienstkonto für verschiedene Anwendungen konfiguriert, das heißt, ich habe mehrere Dienstkonten für eine einzelne „Website“ und dasselbe Dienstkonto wird für verschiedene Anwendungen verwendet.

Um nun Azure SSO zu erreichen, muss ich SPNs für meine Dienstkonten konfigurieren und laut Microsoft kann derselbe SPN nicht mehreren Dienstkonten zugewiesen werden.

um SPN zu konfigurieren, haben wir den folgenden Befehl

Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username
Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username

Wie kann ich allen Dienstkonten denselben FQDN/NetBIOS-Namen zuweisen?

Auch wenn ich für meine Websites einen DNS-Namen verwende, muss ich dennoch mehreren Dienstkonten denselben SPN zuweisen.

Antwort1

Ja, das ist ein grundlegendes Problem mit SPNs. Sie können nicht mehr als einen SPN für eine URL auf einem einzelnen Server haben. Wenn Sie also in Ihrer Situation verschiedene Apps unter einer einzigen Website ausführen und Delegation oder SSO verwenden müssen, müssen sie alle mit demselben Dienstkonto ausgeführt werden, damit Sie einen einzelnen SPN für diese URL registrieren können.

Wenn dies nicht möglich ist, müssen Sie Ihre Apps entweder mit unterschiedlichen Dienstkonten auf demselben Server unter einer anderen URL hosten (vorausgesetzt, Sie haben den SPN für die URL eingerichtet) oder auf einem anderen Server, wenn Sie auf die Verwendung von Servernamen beschränkt sind.

verwandte Informationen