Azure
為 Web 伺服器上的多個服務帳戶生成 SPN
我正在嘗試在我的組織中實現 Azure SSO。我有一個 Web 伺服器,在這些站點下託管多個網站和 Web 應用程序。使用者以以下方式訪問它們
https:// < SiteName > / < ApplicationName > /
我們為不同的應用程序配置了一個服務帳戶,這意味著我有多個服務帳戶用於單個“網站”,並且相同的服務帳戶用於不同的應用程序。
現在要實現 Azure SSO,我必須為我的服務帳戶配置 SPN,並且按照微軟的規定,相同的 spn 不能分配給多個服務帳戶。
配置 spn 我們有以下命令
Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username
如何為所有服務帳戶分配相同的 FQDN/NetBIOS 名稱?
即使我為我的網站使用 DNS 名稱,我仍然必須將相同的 spn 分配給多個服務帳戶。
是的,這是 SPN 的一個基本問題,在單個伺服器上,一個 URL 不能有多個 SPN。因此,在您的不同應用程序在單個網站下執行並且您需要使用委託或 SSO 的情況下,它們都必須使用相同的服務帳戶執行,因此您可以為該 URL 註冊一個 SPN。
如果這不可能,您需要在不同 URL 下的同一伺服器上使用不同的服務帳戶託管您的應用程序(假設您為 URL 設置了 SPN),或者如果您僅限使用伺服器名稱,則需要使用不同的伺服器