Если для пользователя в системе DIRECTUM задана windows-аутентификация, то при настройке сторонних провайдеров аутентификации для сайта веб-доступа необходимо установить и настроить службу Claims to Windows Token Service (C2WTS). Служба извлекает UPN-утверждения из токенов безопасности сторонних провайдеров и создает токены безопасности для внутренней windows-аутентификации в системе DIRECTUM.
Для использования службы:
| 1. | На контроллере домена запустите оснастку «Active Directory – пользователи и компьютеры» и создайте учетную запись пользователя для запуска Службы преобразования утверждений в маркеры безопасности Windows (Claims to Windows Token Service). |
| 2. | Включите пользователя в группу локальных администраторов на сервере веб-доступа. |
| 3. | Выдайте пользователю права: |
| • | Работа в режиме операционной системы (Act as a part of the operating system); |
| • | Вход в качестве службы (Log on as a service); |
| 4. | Установите данного пользователя как пользователя для запуска службы. |
| 5. | Настройте ограниченное делегирование для пользователя к службе SQL-сервера. |
| 6. | В файле конфигурации службы в разделе <allowedCallers> добавьте запись с именем пользователя, который имеет право запускать службу. Это должен быть пользователь группы приложений сайта веб-доступа. По умолчанию «C:\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe.config». |
| 7. | Настройте ограниченное делегирование для пользователя пула приложений и пользователя для запуска SBRte. Для этого выполните настройки: |
| 8. | Откройте файл web.config. Файл расположен в корневом каталоге веб-сайта. По умолчанию «C:\Inetpub\wwwroot\<Веб-сайт>\». |
| 9. | Добавьте информацию о настройках службы: |
<microsoft.identityModel>
<service>
<securityTokenHandlers>
<remove type="Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
<add type="Microsoft.IdentityModel.Tokens.SessionSecurityTokenHandler, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35">
<sessionTokenRequirement useWindowsTokenService="true" />
</add>
</securityTokenHandlers>
</service>
</microsoft.identityModel>
| 10. | Для подключения секции настроек добавьте ее декларацию: |
<section name="microsoft.identityModel" type="Microsoft.IdentityModel.Configuration.MicrosoftIdentityModelSection, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
