Если для пользователя в системе DIRECTUM задана windows-аутентификация, то при настройке сторонних провайдеров аутентификации для сайта веб-доступа необходимо установить и настроить службу Claims to Windows Token Service (C2WTS). Служба извлекает UPN-утверждения из токенов безопасности сторонних провайдеров и создает токены безопасности для внутренней windows-аутентификации в системе DIRECTUM.
Для использования службы:
1. | На контроллере домена запустите оснастку «Active Directory – пользователи и компьютеры» и создайте учетную запись пользователя для запуска Службы преобразования утверждений в маркеры безопасности Windows (Claims to Windows Token Service). |
2. | Включите пользователя в группу локальных администраторов на сервере веб-доступа. |
3. | Выдайте пользователю права: |
• | Работа в режиме операционной системы (Act as a part of the operating system); |
• | Вход в качестве службы (Log on as a service); |
4. | Установите данного пользователя как пользователя для запуска службы. |
5. | Настройте ограниченное делегирование для пользователя к службе SQL-сервера. |
6. | В файле конфигурации службы в разделе <allowedCallers> добавьте запись с именем пользователя, который имеет право запускать службу. Это должен быть пользователь пула приложений сайта веб-доступа. По умолчанию «C:\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config». |
7. | Настройте ограниченное делегирование для пользователя пула приложений и пользователя для запуска SBRte. Для этого выполните настройки: |
8. | Откройте файл web.config. Файл расположен в корневой папке веб-сайта. По умолчанию «C:\Inetpub\wwwroot\<Веб-сайт>\». |
9. | Добавьте информацию о настройках службы: |
<microsoft.identityModel>
<service>
<securityTokenHandlers>
<remove type="Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
<add type="Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35">
<sessionTokenRequirement useWindowsTokenService="true" />
</add>
</securityTokenHandlers>
</service>
</microsoft.identityModel>
10. | Для подключения секции настроек добавьте ее декларацию: |
<section name="microsoft.identityModel" type="Microsoft.IdentityModel.Configuration.MicrosoftIdentityModelSection, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>