我不熟悉IT运营支持工作。我们有一个位于Windows 2012 Web服务器上的应用程序,该应用程序与驻留在单独服务器上的oracle 12.2数据库对话。
问题是我们将应用程序迁移到了新版本。旧的PROD版本到新的PROD版本。我们公司使用kerberos对SSO进行身份验证。我们看到一个问题,即某些旧版本的用户在迁移后无法使用Internet Explorer登录到新版本。这不会影响所有以前的用户。例如,我本人和其他人是旧产品的以前用户,而在迁移之后,我们就不会对新产品抱有任何疑问。
面对此问题的用户只有使用Internet Explorer的InPrivate浏览器才能成功登录到新PROD。如果他们尝试使用Chrome或Chrome隐身模式,则会遇到问题,并且应用程序UI会显示“无效的kerberos令牌”。但是,如果再次使用IE-InPrivate浏览器,他们将会成功。
我们公司严格控制了IE浏览器中的访问安全性设置,但是谁能对为什么某些用户零星地随机发生此问题有任何见解???我知道它是在黑暗中拍摄的,但我只是吐了个冰雹,以获取有关可能在哪里看的指导。
提前谢谢!
答案 0 :(得分:0)
我建议您可以尝试配置一些选项以使浏览器支持Kerberos。
大多数PingFederate SSO连接将在SSO URL中使用完全限定的域名(FQDN),因此不会被归类为Intranet区域中。因此,必须通过将PingFederate主机名添加到“受信任的站点”区域来配置浏览器信任主机。
在启用了Internet Explorer增强安全配置的计算机(即服务器)上,自动登录行为将被登录提示覆盖。登录提示将允许Kerberos和NTLM登录功能,但是不会使用用户登录名中缓存的凭据。
您可以尝试在IE中执行以下步骤以使其正常工作。
Windows中的Google Chrome浏览器将使用Internet Explorer设置,因此也许该设置在Chrome浏览器中也可以使用。
有关如何为Kerberos配置支持的浏览器的更多信息,请参考: https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM