我的Moss社区:
www.msotec.com QQ群:14936250
www.msotec.net MSN群:group194869@xiaoi.com
1.設定MOSS2007 的位置是在 管理中心 > 作業
2.點選 管理單一登入設定 管理中心 > 作業 > 管理單一登入(若之前尚未設定過伺服器設定,其餘選項應為灰色未啟用)
3.點選 管理伺服器設定 管理中心 > 作業 > 管理單一登入 > 管理單一登入的伺服器設定
1.單一登入 (Single Sign-on) 系統管理員帳戶:此為啟用SSO服務的帳號
這個帳戶須是單一登入服務帳戶所屬網域中的成員。
Ex:SPS\ADMINISTRATOR
2.企業應用程式定義管理員帳戶:設定EAP(企業應用程式定義)的帳戶
這個帳戶須是單一登入服務帳戶所屬網域中的成員。Ex:SPS\ADMINISTRATOR
3. 資料庫設定
A.[伺服器名稱]儲存單一登入的設定和帳戶資訊的資料庫伺服器名稱:
SSO的資料庫是放在哪台SQL SERVER。EX:我的機器名稱為MOSS2007
B.[資料庫名稱]鍵入單一登入資料庫的名稱:
SSO資料庫的名稱。Ex:SSO
4. 逾時設定
A.[票證]逾時票證逾時允許等待的分鐘數。TICKET SESSION TIMEOUT
預設是2分鐘。2分鐘都登入不了也太誇張了,依照需求定義。
B.[刪除稽核記錄早於] 要保留稽核記錄中幾天內的記錄。
MOSS2007 的SSO 資料庫會保留登入之稽核記錄。
此處設定紀錄保留天數。也是依照需求,預設值為10天。
按下確定後,完成單一登入的伺服器設定,且會於指定的SQL SERVER上建立SSO資料庫(如下圖)。
噹噹噹!已經完成單一登入的伺服器設定了。
4. 管理加密金鑰 管理中心 > 作業 > 管理單一登入 > 管理加密金鑰
MOSS2007對SSO資料庫加密的功能,記得把金鑰備份起來。
如果之前已經建立EAP(企業應用程式定義)裡的帳戶資訊,
記得要勾選呀,如果沒勾選之其設定的資料就得重新輸入喔,如果是新建立就無所謂了。
不過如果金鑰不見重新建立金鑰記得要勾選,建立完記得回上一個頁面備份喔。
5.再來就是定義要單一登入的應用程式了,
管理中心 > 作業 > 管理單一登入 > 管理企業應用程式定義
新增項目
這次我是用Gmail來示範:
應用程式與連絡人資訊:
[顯示名稱]這是顯示給使用者看到的名字,例如Gmail信箱,讓使用者方便辨認即可
[應用程式名稱] 這是讓開發人員建立 Office 資料連線或存取應用程式定義時使用的名稱,(等介紹開發篇就會用到)
[連絡人電子郵件]SSO失敗或出問題時該應用程式的連絡人,不是MOSS的連絡人喔。(不過GOOGLE應該不會鳥我,所以我還是設我自己)
帳戶類型:Gmail當然是一個人一個信箱所以我選個人。
個人:一個MOSS上的使用者,對應EAP一個使用者
EX.SPS\Andy -> andy.eleven (@gamil)
群組:一個MOSS上的群組,對應EAP一個使用者
EX.SPS\Domain Admins -> andy.eleven (@gamil)
使用受限帳戶的群組: 讓所有使用者使用單一權限帳戶連線至企業應用程式。
說真的我不知道這是啥,不過也是一個MOSS上的群組,對應EAP一個使用者。
驗證類型:Gmail 當然不是windows驗證所以我沒有勾選。
登入帳戶資訊:這部份視需求設定,通常是帳號、密碼最多加個網域。
MOSS提供了五個欄位應該相當足夠,應該沒有系統登入需要輸五個欄位吧?
Gmail只需要帳號密碼,所以我就照預設值沒有變更。
在 [遮罩] 下選取 [是] 可隱藏使用者輸入的文字。這樣可以確保不會顯示機密資訊,例如密碼。
按下確定就完成囉!最後一步就只剩下輸入使用者資訊了。
6. 管理企業應用程式定義的帳戶資訊
管理中心 > 作業 > 管理單一登入 > 管理企業應用程式定義的帳戶資訊
1.選擇應用程式定義->輸入MOSS 使用者帳戶
更新帳戶資訊:新增或修改此MOSS帳號於EAP對應的帳號
從此企業應用程式定義刪除此帳戶的儲存認證:刪除此MOSS帳號於EAP對應的帳號
從所有企業應用程式定義刪除此帳戶的儲存認證:刪除此MOSS帳號所有EAP對應的帳號
EX.我要設定SPS\Andy的對應帳號,選好應用程式定義 按下確定
2. 提供 GMail 帳戶資訊
管理中心 > 作業 > 管理單一登入 >
管理企業應用程式定義的帳戶資訊 > 管理企業應用程式認證
在定義要單一登入的應用程式我只定義了使用者名稱及密碼
所以輸入我的Gmail 帳號及密碼即可。
(一定很多人想到,企業中有上千人,一個一個鍵入不是要瘋了,等等之類的問題,
放心這次MOSS提供issoprovider 讓大家去寫自己sso 的provider 定義 ,
在MOSS2007 SDK上有完整資料與範例喔)
到這裡SSO的所有設定已經完成了,
接下來就是撰寫程式來完成SSO的動作了。