我是IT运营支持工作的新手。我们有一个应用程序位于Windows 2012 Web服务器上,该服务器与位于单独服务器上的oracle 12.2数据库通信。
问题是我们将应用程序迁移到了新版本。旧PROD版本到新的PROD版本。我们公司使用kerberos来验证SSO。我们看到一个问题,即旧版本用户的某些用户在迁移后无法使用Internet Explorer登录到新版本。这不会影响所有以前的用户。例如,我自己和另一个人是旧生产的先前用户,并且在迁移之后我们对于进入新生产没有任何问题。
面对该问题的用户只有在使用Internet Explorer的InPrivate浏览器时才能成功登录新的PROD。如果他们尝试使用Chrome或Chrome隐身,则会出现问题,应用程序用户界面会显示“无效的kerberos令牌”。但同样,如果他们使用IE-InPrivate浏览器,他们就会获得成功。
我们公司在IE浏览器中严格控制访问安全设置,但任何人都可以对某些用户零星和随机发生这个问题的原因有所了解???我知道它是在黑暗中完全射击但我只是抛出一个冰雹玛丽来获得一些指导,看看可能在哪里。
提前致谢!
我建议您可以尝试配置一些选项以使浏览器支持Kerberos。
大多数PingFederate SSO连接将使用SSO URL中的完全限定域名(FQDN),因此不会将其归类为位于Intranet区域中。因此,必须通过将PingFederate主机名添加到“受信任的站点”区域来配置浏览器信任主机。
在启用了Internet Explorer增强安全配置的计算机(即服务器)上,将使用登录提示覆盖自动登录行为。登录提示将允许Kerberos和NTLM登录功能,但它不会使用用户登录中的缓存凭据。
您可以在IE中尝试以下步骤以使其工作。
Windows中的Google Chrome将使用Internet Explorer设置,因此此设置也可能适用于Chrome。
有关如何为Kerberos配置支持的浏览器的更多信息,请参阅:https://ping.force.com/Support/PingFederate/Integrations/How-to-configure-supported-browsers-for-Kerberos-NTLM