Single Sign-On
OneDoor kan integreres med Windows-baseret Single Sign-On (SSO), så brugere logges på automatisk via deres domænekonto uden at skulle indtaste brugernavn og adgangskode. Dette opnås med Kerberos-autentificering mod Active Directory.
Trin 1 – Registrér SPN'er i Active Directory
IT-afdelingen skal registrere SPN'er for hvert værtsnavn OneDoor svarer på. Eksemplet nedenfor dækker både test- og produktionsværtsnavn — udskift værtsnavne og serverkonto med jeres egne.
setspn -s HTTP/test-onedoor.minkommune.dk APPSERVER01$
setspn -s HTTP/test-onedoor.minkommune.dk APPSERVER01
setspn -s HTTP/onedoor.minkommune.dk APPSERVER01$
setspn -s HTTP/onedoor.minkommune.dk APPSERVER01Kommandoerne registrerer SPN'er (Service Principal Names) i Active Directory for Kerberos SSO:
setspn -s HTTP/test-onedoor.minkommune.dk APPSERVER01$– tilføjer SPN til serverens computerkonto (med$).setspn -s HTTP/test-onedoor.minkommune.dk APPSERVER01– tilføjer samme SPN til serverens brugerkonto (uden$).- De næste to linjer gør det samme for værtsnavnet
onedoor.minkommune.dk.
-s tjekker for duplikater og tilføjer kun SPN'et hvis det ikke findes i forvejen. Tilsammen gør registreringerne det muligt at gennemføre Windows Authentication uden login-prompt.
Trin 2 – Tilføj sitet til Local Intranet-zonen
For at browseren automatisk sender Kerberos-billetten skal OneDoor-sitet ligge i Local Intranet-zonen på brugernes PC. IT-afdelingen kan rulle dette ud via Group Policy:
- User Configuration → Policies → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page → Site to Zone Assignment List
- Tilføj OneDoor-værtsnavnene med zone-værdien
1(Local Intranet).
Indstillingen anvendes også af Microsoft Edge og Chrome.
Fejlfinding
| Problem | Tjek |
|---|---|
| Login-prompt vises i browseren | Sitet er ikke i Local Intranet-zonen, eller SPN mangler. |
| 401 Unauthorized | SPN findes ikke, eller er registreret på en anden konto end den OneDoor kører som. |
| Virker for nogle brugere, ikke andre | Group Policy er ikke rullet ud til alle, eller brugerens browser bruger en anden zoneopsætning. |
| Virker via IP, men ikke via værtsnavn | Browseren falder tilbage til NTLM ved IP-adresser — Kerberos kræver et SPN-matchende værtsnavn. |
For verifikation kan IT bruge setspn -L <konto> til at liste SPN'er på en konto og klist på klienten til at se udleverede Kerberos-billetter.