Копировать ссылку на страницу Перейти в предыдущий раздел Перейти в следующий раздел

Если для пользователя в системе DIRECTUM задана windows-аутентификация, то при настройке сторонних провайдеров аутентификации для сайта веб-доступа необходимо установить и настроить службу Claims to Windows Token Service (C2WTS). Служба извлекает UPN-утверждения из токенов безопасности сторонних провайдеров и создает токены безопасности для внутренней windows-аутентификации в системе DIRECTUM.

Для использования службы:

1.На контроллере домена запустите оснастку «Active Directory – пользователи и компьютеры» и создайте учетную запись пользователя для запуска Службы преобразования утверждений в маркеры безопасности Windows (Claims to Windows Token Service).
2.Включите пользователя в группу локальных администраторов на сервере веб-доступа.
3.Выдайте пользователю права:
Работа в режиме операционной системы (Act as a part of the operating system);
Вход в качестве службы (Log on as a service);
4.Установите данного пользователя как пользователя для запуска службы.
5.Настройте ограниченное делегирование для пользователя к службе SQL-сервера.
6.В файле конфигурации службы в разделе <allowedCallers> добавьте запись с именем пользователя, который имеет право запускать службу. Это должен быть пользователь пула приложений сайта веб-доступа. По умолчанию «C:\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config».
7.Настройте ограниченное делегирование для пользователя пула приложений и пользователя для запуска SBRte. Для этого выполните настройки:
Настройка учетной записи пользователя пула приложений
Настройка имен SPN для веб-сервера
Настройка имен SPN для SQL-сервера
8.Откройте файл web.config. Файл расположен в корневой папке веб-сайта. По умолчанию «C:\Inetpub\wwwroot\<Веб-сайт>\».
9.Добавьте информацию о настройках службы:

 

<microsoft.identityModel>
<service>
  <securityTokenHandlers>

    <remove type="Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
    <add type="Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35">
      <sessionTokenRequirement useWindowsTokenService="true" />
    </add>
  </securityTokenHandlers>
</service>
</microsoft.identityModel>

10.Для подключения секции настроек добавьте ее декларацию:

 

<section name="microsoft.identityModel" type="Microsoft.IdentityModel.Configuration.MicrosoftIdentityModelSection, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>

© Компания DIRECTUM, 2018 Сообщество пользователей DIRECTUM
.navbar > a:hover { background: #FFD73B; }