1、 中国电信广东公司一站式企业信息应用中心SSO 模块安装部署手册微软(中国)有限公司2007-11-09文档总页数 48文档编号中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 2 / 473关于本文档文 档 名 称 中 国 电 信 广 东 公 司 一 站 式 企 业 信 息 应 用 中 心 SSO 模 块 安 装 部 署 手 册说 明修 改 历 史日 期 版 本 作 者 修 改 内 容2007-8-28 1.0 张春峰2007-11-06 1.1 徐德俊 1 根据实际环境删除了数据库初始化部分2007-11-9 1.2 徐德俊审 阅 记 录序 号 姓 名
2、 职 位 签 字分 发 记 录副 本 号 姓 名 职 位 签 收致被分发者出于文档管理的目的,在您收到本文档时,若审阅无误请在相关的栏目中签署您的姓名;如果您收到的是电子版本,请以书面或电子邮件的方式通知文档分发人员。中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 3 / 47目 录1 概要说明 42 单点登录程序部署 .42.1 复制文件 .42.2 打开 IIS 管理器 52.3 在 IIS 中新建应用程序池 62.4 配置应用程序池 72.5 在 IIS 中新建 SSO 站点 .72.6 配置 EIAC-SSO 站点 .112.7 修改配置文件 1
3、52.8 基本测试 .173 单点登录管理程序的部署 203.1 复制文件 .203.2 打开 IIS 管理器 213.3 在 IIS 中新建应用程序池 223.4 配置应用程序池 233.5 在 IIS 中新建 EIAC-SSOMANAGE 站点 233.6 配置 EIAC-SSOMANAGE 站点 273.7 修改配置文件 314 申请服务器端证书 .334.1 点服务器端证书 335 在网站根级启用 WINDOWS 目录服务映射(为 USBKEY 登陆) .396 在网站一级启用证书服务,以激活 SSL 访问 .406.1 启用证书服务 406.2 基本测试 .466.3 登陆测试 .4
4、77 上线检查要点 .47中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 4 / 471 概要说明统一用户视图的部署包括以下内容: 单点登录程序的部署 单点登录管理程序的部署通过下面的步骤完成上述 2 方面的安装部署。2 单点登录程序部署2.1复制文件复制已发布好程序文件复制到指定的服务器存储目录,如下图中,将已发布好的程序文件复制到 D:EIACEIAC-SSO 目录下面;中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 5 / 472.2打开 IIS 管理器中国电信广东公司 EIAC 项目中国电信广东公司企业信息
5、化部 | 微软企业服务部 机密 6 / 472.3在 IIS 中新建应用程序池 右击“应用程序池” ,弹出菜单后选择“新建”-“应用程序池”,弹出窗口;在“应用程序池 ID”栏目中输入命名规则的名称,如“EIAC-SSO” ;点击“确定” ,完成新建应用程序池。中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 7 / 472.4配置应用程序池 在信息应用程序池成功后,可以在左边的树中显示新建的名称,在该名称上右击弹出菜单,点击“属性” ,弹出窗口如下: 在选中“标识”页面,选中“配置”单选按钮,在“用户”名栏目中输入该服务器所在域的管理员帐户名称 GDCT
6、CEIAC-SSO(或者输入在 AD 有创建用户的帐户名称) ,在“密码”栏输入该用户的密码 1234pass;若该帐户没有创建用户的权限,则在后面的管理用户时会出现错误。 完成应用程序池的配置;2.5在 IIS 中新建 SSO 站点 在 IIS 中找到“网站” 节点,右击弹出菜单,点击“新建”“网站” ,系统会出现创建网站向导;中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 8 / 47 点击“下一步”在描述栏目中输入按照命名规则的名称,如 EIAC-SSO 点击“下一步”中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部
7、 机密 9 / 47网站 IP 地址:该栏目可以采用默认值;网站 TCP 端口:按照管理员分配的端口号输入,如 8080;主机头:可以为空; 点击“下一步”中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 10 / 47在路径栏目输入该网站的物理路径,也就是第一步复制程序文件的目录位置,或者点击“浏览” ,在弹出窗口中选择位置;并选中“允许匿名访问网站” 点击“下一步”在弹出窗口中选中“读取” 、 “运行脚本” 、 “执行”三个选项 点击“下一步”中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 11 / 47 点击“
8、完成” ,完成新建网站。2.6配置 EIAC-SSO 站点完成新建网站后,在左边的“网站”节点下会新增刚才新建的网站名称,右击出现菜单,点击“属性” ,弹出如下窗口:中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 12 / 47 在上面窗口中选择“主目录”页面,在应用程序池栏目的下拉列表中选择上面新建的应用程序池,如“EIAC-SSO ” 设置身份验证:点击“目录安全性”页面,出现如下窗口:中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 13 / 47点击“身份验证和访问控制”后面的“编辑”按钮,出现如下窗口:中国
9、电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 14 / 47确认选中“启用匿名访问” ,确定选中“继承 windows 身份验证”选项。 应用程序配置中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 15 / 47确定选中父路径,不要选中启用会话状态。 完成网站配置2.7修改配置文件打开网站的物理路径(如:D:EIAC-UUVEIAC-SSO) ,在该目录下找到 Web.config 文件,用记事本打开该文件;中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 16 / 47 修改
10、EIAC-SSO 数据库连接字符串修改“EIACDBConnStr”为正确的数据库连接值(Integrated Security=SSPI;Data Source=GDEIAC-SQL02instance02;Initial Catalog=EIAC_SSO) 修改 EIAC-UUV 数据库连接字符串修改“UUVDBConnStr”为正确的数据库连接值(Integrated Security=SSPI;Data Source=GDEIAC-SQL02instance02;Initial Catalog=EIAC_UUV) 修改 AD 服务器地址修改“ADPath”为正确的 AD 服务器地址(L
11、DAP:/gdad01) 修改 Portal 的 URL 地址修改“DefaultURL”为正确的 Portal 的 URL 地址(http:/gdeiac-) 配置负载均衡确保该文件中有以下代码(这些代码一定要加在和之间):中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 17 / 47 修改配置文件完成。2.8基本测试后台系统的基本数据配置完成后,可以进行数据测试。输入你当前配置的站点 URL,则成功配置,并设置默认文档为 例如本图中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 18 / 47在 IIS 的相应网
12、站中点击右键,出现登陆界面。中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 19 / 47中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 20 / 473 单点登录管理程序的部署3.1复制文件复制已发布好程序文件复制到指定的服务器存储目录,如下图中,将已发布好的程序文件复制到 D:EIAC-UUVEIAC-SSOManage 目录下面;中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 21 / 473.2打开 IIS 管理器中国电信广东公司 EIAC 项目中国电信广东公司企业信
13、息化部 | 微软企业服务部 机密 22 / 473.3在 IIS 中新建应用程序池 右击“应用程序池” ,弹出菜单后选择“新建”-“应用程序池”,弹出窗口;在“应用程序池 ID”栏目中输入命名规则的名称,如“EIAC-SSOManage”;点击“确定” ,完成新建应用程序池。中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 23 / 473.4配置应用程序池 在信息应用程序池成功后,可以在左边的树中显示新建的名称,在该名称上右击弹出菜单,点击“属性” ,弹出窗口如下: 在选中“标识”页面,选中“配置”单选按钮,在“用户”名栏目中输入该服务器所在域的管理员帐
14、户名称 GDCTCEIAC-SSO(或者输入在 AD 有创建用户的帐户名称) ,在“密码”栏输入该用户的密码 1234pass;若该帐户没有创建用户的权限,则在后面的管理用户时会出现错误。 完成应用程序池的配置;3.5在 IIS 中新建 EIAC-SSOManage 站点 在 IIS 中找到“网站” 节点,右击弹出菜单,点击“新建”“网中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 24 / 47站” ,系统会出现创建网站向导; 点击“下一步”在描述栏目中输入按照命名规则的名称,如 EIAC-SSOManage 点击“下一步”中国电信广东公司 EIAC
15、项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 25 / 47网站 IP 地址:该栏目可以采用默认值;网站 TCP 端口:按照管理员分配的端口号输入,如 8009;主机头:可以为空; 点击“下一步”中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 26 / 47在路径栏目输入该网站的物理路径,也就是第一步复制程序文件的目录位置,或者点击“浏览” ,在弹出窗口中选择位置;并选中“允许匿名访问网站” 点击“下一步”在弹出窗口中选中“读取” 、 “运行脚本” 、 “执行”三个选项 点击“下一步”中国电信广东公司 EIAC 项目中国电信广东公司企业信息
16、化部 | 微软企业服务部 机密 27 / 47点击“完成” ,完成新建网站。3.6配置 EIAC-SSOManage 站点完成新建网站后,在左边的“网站”节点下会新增刚才新建的网站名称,右击出现菜单,点击“属性” ,弹出如下窗口:中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 28 / 47 在上面窗口中选择“主目录”页面,在应用程序池栏目的下拉列表中选择上面新建的应用程序池,如“EIAC-SSOManage” 设置身份验证:点击“目录安全性”页面,出现如下窗口:中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 29 / 47点击“身份验证和访问控制”后面的“编辑”按钮,出现如下窗口:中国电信广东公司 EIAC 项目中国电信广东公司企业信息化部 | 微软企业服务部 机密 30 / 47确认选中“启用匿名访问”和“继承 windows 身份验证”选项。 应用程序配置
