Я пытаюсь реализовать единый вход в Azure в своей организации. У меня есть веб-сервер, на котором размещено несколько веб-сайтов и веб-приложение на этих сайтах. Пользователи получают к ним доступ следующим образом
https:// < SiteName > / < ApplicationName > /
У нас есть учетная запись службы, настроенная для другого приложения, это означает, что у меня есть несколько учетных записей службы для одного «веб-сайта», и одна и та же учетная запись службы используется для разных приложений.
Теперь, чтобы достичь единого входа в Azure, я должен настроить имена участников-служб для своих учетных записей служб, и, согласно microsoft, один и тот же spn не может быть назначен нескольким учетным записям службы.
для настройки spn у нас есть команда ниже
Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username
Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username
Как я могу назначить одно и то же полное доменное имя / имя NetBIOS для всей учетной записи службы?
Даже если я использую DNS-имя для своих веб-сайтов, мне все равно придется назначить один и тот же spn для нескольких учетных записей служб.
Да, это фундаментальная проблема с SPN, вы не можете иметь более одного SPN для URL-адреса на одном сервере. Таким образом, в вашей ситуации, когда разные приложения работают на одном веб-сайте и вам необходимо использовать делегирование или единый вход, все они должны работать с одной и той же учетной записью службы, поэтому вы можете зарегистрировать одно имя участника-службы для этого URL-адреса.
Если это невозможно, вам необходимо разместить свои приложения с разными учетными записями служб на одном сервере под другим URL-адресом (при условии, что вы настроили SPN для URL-адреса) или на другом сервере, если вы ограничены использованием имен серверов.