Я пытаюсь реализовать Azure SSO в своей организации. У меня есть веб-сервер, на котором размещено несколько веб-сайтов и веб-приложений под этими сайтами. Пользователи получают к ним доступ следующим образом
https:// < SiteName > / < ApplicationName > /
У нас есть учетная запись службы, настроенная для разных приложений, то есть у меня есть несколько учетных записей службы для одного «веб-сайта», и одна и та же учетная запись службы используется для разных приложений.
Теперь для реализации единого входа в Azure мне необходимо настроить имена участников-служб для учетных записей служб, а в соответствии с требованиями Microsoft один и тот же SPN не может быть назначен нескольким учетным записям служб.
для настройки spn у нас есть следующая команда
Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username
Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username
Как назначить одинаковое имя FQDN/NetBIOS для всех учетных записей служб?
Даже если я использую DNS-имя для своих веб-сайтов, мне все равно приходится назначать один и тот же SPN нескольким учетным записям служб.
решение1
Да, это фундаментальная проблема SPN, вы не можете иметь более одного SPN для URL на одном сервере. Поэтому в вашей ситуации, когда разные приложения работают под одним веб-сайтом и вам нужно использовать делегирование или SSO, тогда они все должны работать с одной и той же учетной записью службы, поэтому вы можете зарегистрировать один SPN для этого URL.
Если это невозможно, вам необходимо либо разместить свои приложения с разными учетными записями служб на одном сервере под другим URL-адресом (при условии, что вы настроили SPN для URL-адреса), либо на другом сервере, если вы ограничены использованием имен серверов.