我正在嘗試在我的組織中實作 Azure SSO。我有一個網頁伺服器,在這些網站下託管多個網站和網路應用程式。使用者透過以下方式存取它們
https:// < SiteName > / < ApplicationName > /
我們為不同的應用程式配置了一個服務帳戶,這意味著我有一個「網站」的多個服務帳戶,並且相同的服務帳戶用於不同的應用程式。
現在要實作 Azure SSO,我必須為我的服務帳戶設定 SPN,並且根據 microsoft,無法將相同的 spn 指派給多個服務帳戶。
要配置 spn,我們有以下命令
Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username
Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username
如何為所有服務帳戶指派相同的 FQDN/NetBIOS 名稱?
即使我為我的網站使用 DNS 名稱,我仍然必須將相同的 spn 指派給多個服務帳戶。
答案1
是的,這是 SPN 的一個基本問題,一台伺服器上的 URL 不能有多個 SPN。因此,在不同的應用程式在單一網站下運行並且需要使用委派或 SSO 的情況下,它們都必須使用相同的服務帳戶運行,以便您可以為該 URL 註冊一個 SPN。
如果這不可能,您需要在同一伺服器上的不同URL 下使用不同的服務帳戶來託管您的應用程式(假設您為該URL 設定SPN),或者如果您僅限於使用伺服器名稱,則需要使用不同的伺服器託管您的應用程式