웹 서버의 여러 서비스 계정에 대한 SPN 생성

웹 서버의 여러 서비스 계정에 대한 SPN 생성

내 조직에서 Azure SSO를 달성하려고 합니다. 해당 사이트 아래에 여러 웹 사이트와 웹 응용 프로그램을 호스팅하는 웹 서버가 있습니다. 사용자는 아래와 같은 방식으로 접근합니다.

https:// < SiteName > / < ApplicationName > /

서로 다른 애플리케이션에 대해 구성된 서비스 계정이 있습니다. 이는 단일 "웹 사이트"에 대해 여러 서비스 계정이 있고 서로 다른 애플리케이션에 동일한 서비스 계정이 사용된다는 의미입니다.

이제 Azure SSO를 달성하려면 서비스 계정에 대한 SPN을 구성해야 하며 Microsoft에 따라 동일한 spn을 여러 서비스 계정에 할당할 수 없습니다.

spn을 구성하려면 아래 명령이 있습니다.

Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username
Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username

모든 서비스 계정에 동일한 FQDN/NetBIOS 이름을 할당하려면 어떻게 해야 합니까?

내 웹 사이트에 DNS 이름을 사용하더라도 여전히 여러 서비스 계정에 동일한 spn을 할당해야 합니다.

답변1

예, 이는 SPN의 근본적인 문제입니다. 단일 서버의 URL에 대해 둘 이상의 SPN을 가질 수 없습니다. 따라서 단일 웹 사이트에서 여러 앱이 실행되고 위임이나 SSO를 사용해야 하는 상황에서는 모두 동일한 서비스 계정으로 실행되어야 하므로 해당 URL에 대해 단일 SPN을 등록할 수 있습니다.

이것이 가능하지 않은 경우 다른 URL(URL에 대한 SPN을 설정했다고 가정)의 동일한 서버에 있는 다른 서비스 계정으로 앱을 호스팅해야 하거나, 서버 이름 사용이 제한된 경우 다른 서버를 호스팅해야 합니다.

관련 정보