simpleSAMLphp с IIS и различными удостоверениями пула приложений

С тех пор я боролся с simpleSAMLphp в IIS, и мне просто удалось понять, почему.

Так что у меня simpleSAMLphp работает как IUSR в отдельном приложении https: // MyServer / simpleSAMLphp.
Это (используется только как SP) настраивается в моей среде AD FS (один IdP).

Затем я создал тестовое приложение simpleTest, которое также работает как IUSR. Все работало нормально

Я наконец добавил свое настоящее приложение DEV, которое работает как MYDOMAIN \ myserviceaccount и здесь я испытываю многократные перенаправления, пока я не получаю некоторые ошибки в simplesamlphp. После некоторого устранения неполадок я понял, что когда я меняю свое веб-приложение на использование IUSR, оно работает как положено. К сожалению, я не могу заставить свое приложение работать как IUSR, и я даже не хочу менять simpleSAMLphp для использования учетной записи службы, так как в теории у меня может быть несколько учетных записей службы для каждого пула в любом случае.

Кто-нибудь испытывал то же самое и имеет обходной путь, позволяющий другой учетной записи работать с токеном, предоставленным simpleSAMLphp?

Моя конечная цель — использовать один экземпляр simpleSAMLphp и добавить все мои приложения, чтобы использовать AD FS для входа в систему, поэтому несколько SP с 1 IdP.

Вот фрагмент кода, который я использую на страницах PHP, чтобы увидеть, аутентифицирован ли пользователь уже:

require_once ('C:\inetpub\wwwroot\simplesamlphp\lib\_autoload.php');
$as = new SimpleSAML_Auth_Simple('default-sp');
if (!$as->isAuthenticated()) {
$params = array(
'ErrorURL' => '/MyApp/error.php',
);
$as->login($params);

}

Большое спасибо

0

Решение

Я понял это в конце концов, я надеюсь, что это поможет любому использовать тот же конфиг, что и у меня.

Так что проблема была связана с РАЗРЕШЕНИЯ, для разнообразия. Что сбило меня с толку, так это то, что другой SP работал нормально, пока я не понял, что SP также использует IUSR.

Поэтому, если вы хотите использовать несколько SP для нескольких веб-приложений, работающих с разными учетными записями служб, лучше всего использовать пул simpleSAMLphp как пользователь с правами локального администратора. Даже работа с SYSTEM работала во время моего тестирования, но я думаю, что лучше всего настроить новую учетную запись для этого.

Я сделал различные тесты, чтобы подтвердить вышеизложенное.

редактировать
Вот что я сделал в основном: https://www.itdroplets.com/simplesamlphp-on-iis-from-scratch-adfs/

0

Другие решения

Других решений пока нет …

По вопросам рекламы ammmcru@yandex.ru
Adblock
detector