要了解企业单点登录,查看当前可用的三种类型的单一Sign-On服务很有用:Windows 集成、外联网和内联网。 这些内容将在下文中进行描述,其中,企业单一编号 Sign-On 属于第三类。
Windows 集成单元 Sign-On
这些服务使你能够连接到网络中使用通用身份验证机制的多个应用程序。 这些服务会在您登录到网络后请求并验证您的凭据,并根据您的用户权限使用这些凭据来确定您可以执行的操作。 例如,如果应用程序使用 Kerberos 集成,在系统对用户凭据进行身份验证后,可以访问与 Kerberos 集成的网络中的任何资源。
外部网络单一登录 Sign-On (网页单点登录)
通过这些服务,可以使用一组用户凭据通过 Internet 访问资源。 用户提供一组凭据,用于登录到属于不同组织的不同网站。 此类单 Sign-On 的示例是 Windows Live ID,这是面向消费者的应用程序的一个示例。 对于联合方案,Microsoft Active Directory 联合身份验证服务启用 Web SSO。
Server-Based Intranet 单一 Sign-On
借助这些服务,可以在企业环境中集成多个异类应用程序和系统。 这些应用程序和系统可能不使用常见身份验证。 每个应用程序都有自己的用户目录存储。 例如,在组织中,Windows 使用 Active Directory 目录服务对用户进行身份验证,大型机使用 IBM 的资源访问控制设施(RACF)对同一用户进行身份验证。 在企业中,中间件应用程序集成了前端和后端应用程序。 企业单一 Sign-On 使企业用户能够使用一组凭据同时连接到前端和后端。 它允许 Windows 发起的单点登录Sign-On(在这种情况下,初始请求来自 Windows 域环境)和主机发起的单点登录Sign-On(在这种情况下,初始请求来自非 Windows 域环境)访问 Windows 域中的资源。
此外, 密码同步 简化了 SSO 数据库的管理,并使密码在用户目录中保持同步。 这是通过使用密码同步适配器完成的,可以使用密码同步工具配置和管理这些适配器。
企业统一 Sign-On 系统
企业单一 Sign-On(SSO)提供服务,用于跨本地和网络边界(包括域边界)存储和传输加密用户凭据。 SSO 将凭据存储在 SSO 数据库中。 由于 SSO 提供了通用单一登录解决方案,因此中间件应用程序和自定义适配器可以利用 SSO 安全地在环境中存储和传输用户凭据。 最终用户不必记住不同应用程序的不同凭据。
单 Sign-On 系统由 SSO 数据库、主机密服务器和一个或多个单一 Sign-On 服务器组成。
SSO 系统包含管理员定义的关联应用程序。 关联应用程序是一个逻辑实体,表示一个系统或子系统,例如主机、后端系统或业务线应用程序,你正在使用企业单一登录连接到该应用程序。 每个关联应用程序都有多个用户映射;例如,它具有 Active Directory 中用户的凭据与其相应的 RACF 凭据之间的映射。
SSO 数据库是 SQL Server 数据库,用于存储有关关联应用程序的信息,以及所有关联应用程序的所有加密用户凭据。
主密钥服务器是用于存储主密钥的企业单点 Sign-On 服务器。 系统中所有其他单一 Sign-On 服务器从主密钥服务器获取主密钥。
SSO 系统还包含一个或多个 SSO 服务器。 这些服务器在 Windows 和后端凭据之间执行映射,在 SSO 数据库中查找凭据,管理员使用这些凭据来维护 SSO 系统。
注释
SSO 系统中只能有一个主机密服务器和一个 SSO 数据库。 SSO 数据库可以远程连接到主机密服务器。