web-dev-qa-db-ja.com

Webサーバー上の複数のサービスアカウントのSPN生成

組織でAzureSSOを実現しようとしています。複数のWebサイトとそれらのサイトの下のWebアプリケーションをホストするWebサーバーがあります。ユーザーは以下の方法でそれらにアクセスします

https:// < SiteName > / < ApplicationName > /

さまざまなアプリケーション用に構成されたサービスアカウントがあります。つまり、1つの「Webサイト」に複数のサービスアカウントがあり、同じサービスアカウントがさまざまなアプリケーションに使用されています。

Azure SSOを実現するには、サービスアカウントのSPNを構成する必要があります。Microsoftの場合、同じspnを複数のサービスアカウントに割り当てることはできません。

spnを設定するには、以下のコマンドがあります

Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username
Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username

すべてのサービスアカウントに同じFQDN/NetBIOS名を割り当てるにはどうすればよいですか?

WebサイトにDNS名を使用している場合でも、同じspnを複数のサービスアカウントに割り当てる必要があります。

azuresingle-sign-onazure-active-directoryservice-accountsspn
1
Dheeraj Kumar

はい、これはSPNの基本的な問題です。単一のサーバー上のURLに複数のSPNを含めることはできません。したがって、異なるアプリが単一のWebサイトで実行され、委任またはSSOを使用する必要がある状況では、それらはすべて同じサービスアカウントで実行する必要があるため、そのURLに単一のSPNを登録できます。

それが不可能な場合は、同じサーバー上で別のURL(URLのSPNを設定していると仮定)で別のサービスアカウントを使用してアプリをホストするか、サーバー名の使用に制限されている場合は別のサーバーをホストする必要があります

2
Sam Cogan