中國電信廣東公司一站式企業(yè)信息應(yīng)用中心 – 部署手冊SSO分冊

1、文檔總頁數(shù)48文檔編號中國電信廣東公司一站式企業(yè)信息應(yīng)用中心SSO模塊安裝部署手冊微軟(中國)有限公司2007-11-093關(guān)于本文檔文檔名稱中國電信廣東公司一站式企業(yè)信息應(yīng)用中心SSO模塊安裝部署手冊說 明修改歷史日 期版 本作 者修改內(nèi)容2007-8-281.0張春峰2007-11-061.1徐德俊1 根據(jù)實(shí)際環(huán)境刪除了數(shù)據(jù)庫初始化部分2007-11-91.2徐德俊審閱記錄序號姓名職位簽字分發(fā)記錄副本號姓名職位簽收致被分發(fā)者出于文檔管理的目的，在您收到本文檔時(shí)，若審閱無誤請?jiān)谙嚓P(guān)的欄目中簽署您的姓名；如果您收到的是電子版本，請以書面或電子郵件的方式通知文檔分發(fā)人員。目 錄1概要說明42單點(diǎn)

2、登錄程序部署42.1復(fù)制文件42.2打開IIS管理器52.3在IIS中新建應(yīng)用程序池62.4配置應(yīng)用程序池72.5在IIS中新建SSO站點(diǎn)72.6配置EIAC-SSO站點(diǎn)112.7修改配置文件152.8基本測試173單點(diǎn)登錄管理程序的部署203.1復(fù)制文件203.2打開IIS管理器213.3在IIS中新建應(yīng)用程序池223.4配置應(yīng)用程序池233.5在IIS中新建EIAC-SSOManage站點(diǎn)233.6配置EIAC-SSOManage站點(diǎn)273.7修改配置文件314申請服務(wù)器端證書334.1點(diǎn)服務(wù)器端證書335在網(wǎng)站根級啟用WINDOWS目錄服務(wù)映射（為USBKEY登陸）396在網(wǎng)站一級啟用證

3、書服務(wù)，以激活SSL訪問406.1啟用證書服務(wù)406.2基本測試466.3登陸測試477上線檢查要點(diǎn)471 概要說明統(tǒng)一用戶視圖的部署包括以下內(nèi)容：l 單點(diǎn)登錄程序的部署l 單點(diǎn)登錄管理程序的部署通過下面的步驟完成上述2方面的安裝部署。2 單點(diǎn)登錄程序部署2.1 復(fù)制文件復(fù)制已發(fā)布好程序文件復(fù)制到指定的服務(wù)器存儲(chǔ)目錄，如下圖中，將已發(fā)布好的程序文件復(fù)制到D:EIACEIAC-SSO目錄下面；2.2 打開IIS管理器2.3 在IIS中新建應(yīng)用程序池l 右擊“應(yīng)用程序池”，彈出菜單后選擇“新建”-“應(yīng)用程序池”，彈出窗口；在“應(yīng)用程序池ID”欄目中輸入命名規(guī)則的名稱，如“EIAC-SSO”；點(diǎn)擊“

4、確定”，完成新建應(yīng)用程序池。2.4 配置應(yīng)用程序池l 在信息應(yīng)用程序池成功后，可以在左邊的樹中顯示新建的名稱，在該名稱上右擊彈出菜單，點(diǎn)擊“屬性”，彈出窗口如下：l 在選中“標(biāo)識”頁面，選中“配置”單選按鈕，在“用戶”名欄目中輸入該服務(wù)器所在域的管理員帳戶名稱GDCTCEIAC-SSO（或者輸入在AD有創(chuàng)建用戶的帳戶名稱），在“密碼”欄輸入該用戶的密碼1234pass；若該帳戶沒有創(chuàng)建用戶的權(quán)限，則在后面的管理用戶時(shí)會(huì)出現(xiàn)錯(cuò)誤。l 完成應(yīng)用程序池的配置；2.5 在IIS中新建SSO站點(diǎn)l 在IIS中找到“網(wǎng)站”節(jié)點(diǎn)，右擊彈出菜單，點(diǎn)擊“新建”“網(wǎng)站”，系統(tǒng)會(huì)出現(xiàn)創(chuàng)建網(wǎng)站向?qū)?；l 點(diǎn)擊“下一步”

5、在描述欄目中輸入按照命名規(guī)則的名稱，如EIAC-SSOl 點(diǎn)擊“下一步”網(wǎng)站IP地址：該欄目可以采用默認(rèn)值；網(wǎng)站TCP端口：按照管理員分配的端口號輸入，如8080；主機(jī)頭：可以為空；l 點(diǎn)擊“下一步”在路徑欄目輸入該網(wǎng)站的物理路徑，也就是第一步復(fù)制程序文件的目錄位置，或者點(diǎn)擊“瀏覽”，在彈出窗口中選擇位置；并選中“允許匿名訪問網(wǎng)站”l 點(diǎn)擊“下一步”在彈出窗口中選中“讀取”、“運(yùn)行腳本”、“執(zhí)行”三個(gè)選項(xiàng)l 點(diǎn)擊“下一步”l 點(diǎn)擊“完成”，完成新建網(wǎng)站。2.6 配置EIAC-SSO站點(diǎn)完成新建網(wǎng)站后，在左邊的“網(wǎng)站”節(jié)點(diǎn)下會(huì)新增剛才新建的網(wǎng)站名稱，右擊出現(xiàn)菜單，點(diǎn)擊“屬性”，彈出如下窗口：l

6、在上面窗口中選擇“主目錄”頁面，在應(yīng)用程序池欄目的下拉列表中選擇上面新建的應(yīng)用程序池，如“EIAC-SSO”l 設(shè)置身份驗(yàn)證：點(diǎn)擊“目錄安全性”頁面，出現(xiàn)如下窗口：點(diǎn)擊“身份驗(yàn)證和訪問控制”后面的“編輯”按鈕，出現(xiàn)如下窗口：確認(rèn)選中“啟用匿名訪問”，確定選中“繼承windows身份驗(yàn)證”選項(xiàng)。l 應(yīng)用程序配置確定選中父路徑，不要選中啟用會(huì)話狀態(tài)。l 完成網(wǎng)站配置2.7 修改配置文件打開網(wǎng)站的物理路徑（如：D:EIAC-UUVEIAC-SSO），在該目錄下找到Web.config文件，用記事本打開該文件；l 修改EIAC-SSO數(shù)據(jù)庫連接字符串修改“EIACDBConnStr”為正確的數(shù)據(jù)庫連接

7、值(Integrated Security=SSPI;Data Source=GDEIAC-SQL02instance02;Initial Catalog=EIAC_SSO)l 修改EIAC-UUV數(shù)據(jù)庫連接字符串修改“UUVDBConnStr”為正確的數(shù)據(jù)庫連接值(Integrated Security=SSPI;Data Source=GDEIAC-SQL02instance02;Initial Catalog=EIAC_UUV)l 修改AD服務(wù)器地址修改“ADPath”為正確的AD服務(wù)器地址(LDAP:/gdad01)l 修改Portal的URL地址修改“DefaultURL”為正確的P

8、ortal的URL地址()l 配置負(fù)載均衡確保該文件中有以下代碼(這些代碼一定要加在</system.web>和 </configuration>之間)：<location path="NLBtest.aspx"><system.web><authorization><allow users="*"/></authorization></system.web></location>l 修改配置文件完成。2.8 基本測試后臺系統(tǒng)的基本數(shù)據(jù)配置完成后，

9、可以進(jìn)行數(shù)據(jù)測試。輸入你當(dāng)前配置的站點(diǎn)URL，則成功配置，并設(shè)置默認(rèn)文檔為 例如本圖在IIS的相應(yīng)網(wǎng)站中點(diǎn)擊右鍵，出現(xiàn)登陸界面。3 單點(diǎn)登錄管理程序的部署3.1 復(fù)制文件復(fù)制已發(fā)布好程序文件復(fù)制到指定的服務(wù)器存儲(chǔ)目錄，如下圖中，將已發(fā)布好的程序文件復(fù)制到D:EIAC-UUVEIAC-SSOManage目錄下面；3.2 打開IIS管理器3.3 在IIS中新建應(yīng)用程序池l 右擊“應(yīng)用程序池”，彈出菜單后選擇“新建”-“應(yīng)用程序池”，彈出窗口；在“應(yīng)用程序池ID”欄目中輸入命名規(guī)則的名稱，如“EIAC-SSOManage”；點(diǎn)擊“確定”，完成新建應(yīng)用程序池。3.4 配置應(yīng)用程序池l 在信息應(yīng)用程序池

10、成功后，可以在左邊的樹中顯示新建的名稱，在該名稱上右擊彈出菜單，點(diǎn)擊“屬性”，彈出窗口如下：l 在選中“標(biāo)識”頁面，選中“配置”單選按鈕，在“用戶”名欄目中輸入該服務(wù)器所在域的管理員帳戶名稱GDCTCEIAC-SSO（或者輸入在AD有創(chuàng)建用戶的帳戶名稱），在“密碼”欄輸入該用戶的密碼1234pass；若該帳戶沒有創(chuàng)建用戶的權(quán)限，則在后面的管理用戶時(shí)會(huì)出現(xiàn)錯(cuò)誤。l 完成應(yīng)用程序池的配置；3.5 在IIS中新建EIAC-SSOManage站點(diǎn)l 在IIS中找到“網(wǎng)站”節(jié)點(diǎn)，右擊彈出菜單，點(diǎn)擊“新建”“網(wǎng)站”，系統(tǒng)會(huì)出現(xiàn)創(chuàng)建網(wǎng)站向?qū)?；l 點(diǎn)擊“下一步”在描述欄目中輸入按照命名規(guī)則的名稱，如EIAC-

11、SSOManagel 點(diǎn)擊“下一步”網(wǎng)站IP地址：該欄目可以采用默認(rèn)值；網(wǎng)站TCP端口：按照管理員分配的端口號輸入，如8009；主機(jī)頭：可以為空；l 點(diǎn)擊“下一步”在路徑欄目輸入該網(wǎng)站的物理路徑，也就是第一步復(fù)制程序文件的目錄位置，或者點(diǎn)擊“瀏覽”，在彈出窗口中選擇位置；并選中“允許匿名訪問網(wǎng)站”l 點(diǎn)擊“下一步”在彈出窗口中選中“讀取”、“運(yùn)行腳本”、“執(zhí)行”三個(gè)選項(xiàng)l 點(diǎn)擊“下一步”點(diǎn)擊“完成”，完成新建網(wǎng)站。3.6 配置EIAC-SSOManage站點(diǎn)完成新建網(wǎng)站后，在左邊的“網(wǎng)站”節(jié)點(diǎn)下會(huì)新增剛才新建的網(wǎng)站名稱，右擊出現(xiàn)菜單，點(diǎn)擊“屬性”，彈出如下窗口：l 在上面窗口中選擇“主目錄”頁

12、面，在應(yīng)用程序池欄目的下拉列表中選擇上面新建的應(yīng)用程序池，如“EIAC-SSOManage”l 設(shè)置身份驗(yàn)證：點(diǎn)擊“目錄安全性”頁面，出現(xiàn)如下窗口：點(diǎn)擊“身份驗(yàn)證和訪問控制”后面的“編輯”按鈕，出現(xiàn)如下窗口：確認(rèn)選中“啟用匿名訪問”和“繼承windows身份驗(yàn)證”選項(xiàng)。l 應(yīng)用程序配置確定選中父路徑l 完成網(wǎng)站配置3.7 修改配置文件l 修改數(shù)據(jù)庫連接打開網(wǎng)站的物理路徑（如：D:EIAC-UUVEIAC-SSOManage），在該目錄下找到Web.config文件，用記事本打開該文件；修改“EAICDBConnStr”為正確的數(shù)據(jù)庫連接值(Integrated Security=SSPI;Da

13、ta Source=GDEIAC-SQL02instance02;Initial Catalog=EIAC_SSO)；修改配置文件完成。l 修改SSO的URL打開網(wǎng)站的物理路徑（如：D:EIAC-UUVEIAC- SSOManage），在該目錄下找到PSOSetting.config文件，用記事本打開該文件；修改“PostUrl”的值為已經(jīng)配置好的SSO地址http:/GDEIAC-Test03.GDEIAC.LOCAL:8000/Login.aspx修改配置文件完成。4 申請服務(wù)器端證書4.1 點(diǎn)服務(wù)器端證書下面的站點(diǎn)名稱一定要填對選擇生成證書申請文件的路徑最后申請文件拷貝到目錄下，交給證書頒發(fā)人員來申請服務(wù)器端WEB證書（和USBKEY管理是同一個(gè)人）申請完成的證書形如：5 在網(wǎng)站根級啟用windows目錄服務(wù)映射（為USBKEY登陸）6 在網(wǎng)站一級啟用證書服務(wù)，以激活SSL訪問6.1 啟用證書服務(wù)分配一個(gè)已經(jīng)申請的服務(wù)器端證書在虛擬目錄或文件一級調(diào)整訪問安全設(shè)置，去掉匿名訪問，集成身份可設(shè)可不設(shè)。在虛目錄或文件一級編輯安全設(shè)置，要求客戶端提供證書，同時(shí)enable啟用證書映射，這樣加上前面第一步的設(shè)定，IIS將自動(dòng)把client發(fā)來的證書發(fā)給AD做驗(yàn)證，同時(shí)生成該用戶的credential發(fā)給。單獨(dú)選中usbke