SSO для web доступа к 1С. Double hop Kerberos.

by Опубликовано

Оказалось что сделать SSO для web доступа к 1С не так просто как казалось. В случае когда сервер 1С и Web-сервер(IIS прости господи) это разные машины, при авторизации происходит «double hop», и из коробки SSO не работает. Максимум чего можно добиться — это SSO при использовании Internet Explorer или Edge в режиме IE. Для того что-бы SSO заработал в нормальных браузерах нужно создать несколько ключей в реестре или воспользоваться ADMX-шаблоном для браузера.

Я просто создал ключи в реестре для Edge и Chrome.

Edge
HKEY_CURRENT_USER\Software\Policies\Microsoft\Edge
Создаем ключ AuthNegotiateDelegateAllowlist со значением DNS имени Web-сервера
Создаем ключ AuthNegotiateDelegateWhitelist со значением DNS имени Web-сервера

Chrome
HKEY_CURRENT_USER\Software\Policies\Google\Chrome
Создаем ключ AuthNegotiateDelegateAllowlist со значением DNS имени Web-сервера
Создаем ключ AuthNegotiateDelegateWhitelist со значением DNS имени Web-сервера

Перезапускаем браузер, и если все остальное настроено правильно — SSO заработает в Edge и Chrome.

Статья на Microsoft:

https://learn.microsoft.com/ru-ru/troubleshoot/developer/webapps/iis/www-authentication-authorization/kerberos-double-hop-authentication-edge-chromium

Опубликовано Anon Ymous

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *


Срок проверки reCAPTCHA истек. Перезагрузите страницу.