企业单一登录基础知识
若要了解企业单一 Sign-On (SSO) ,请查看目前可用的三种类型的单一 Sign-On 服务非常有用:Windows 集成、Extranet 和 Intranet。 这些内容在以下各节中介绍,企业单一 Sign-On 属于第三类。
Windows 集成单一登录
通过这些服务,您可以连接到网络中使用通用验证机制的多个应用程序。 在您登录到网络后,这些服务将请求并验证您的凭据,并使用这些凭据来基于用户权限确定您可以执行的操作。 例如,如果应用程序使用 Kerberos 集成,则系统对用户凭据进行身份验证后,可以访问与 Kerberos 集成的网络中的任何资源。
Extranet 单一登录 (Web SSO)
通过这些服务,您可以使用单独的一组用户凭据来通过 Internet 访问资源。 用户提供一组凭据以登录到属于不同组织的不同网站。 这种类型的单一 Sign-On 的一个示例是基于使用者的应用程序的 Windows Live ID。 对于联合方案,Active Directory 联合身份验证服务启用 Web SSO。
基于服务器的 Intranet 单一登录
这些服务使你能够在企业环境中集成多个异类应用程序和系统。 这些应用程序和系统可能不会使用通用身份验证。 每个应用程序都具有其自己的用户目录存储区。 例如,在某个组织中,Windows 使用 Active Directory 目录服务来对用户进行验证,而大型机则使用 IBM 的资源访问控制工具 (RACF) 来验证相同的用户。 在该企业中,中间件应用程序将前端应用程序和后端应用程序集成在一起。 通过企业单一登录,该企业内的用户可以在仅使用一组凭据的情况下同时连接到前端和后端。 使用企业单一登录,Windows 启动的单一登录(其中的初始请求是从 Windows 域环境中生成的)和主机启动的单一登录(其中的初始请求是从非 Windows 域环境中生成的)都可以访问 Windows 域中的资源。
此外, 密码同步 简化了对 SSO 数据库的管理,并确保密码在各个用户目录间保持同步。 可以使用密码同步适配器执行此操作,可以使用密码同步工具配置和管理密码同步适配器。
企业单一登录系统 (Enterprise Single Sign-On System)
企业单一 Sign-On 提供跨本地和网络边界(包括域边界)存储和传输加密用户凭据的服务。 SSO 将凭据存储在凭据数据库中。 由于 SSO 提供通用的单一登录解决方案,因此中间件应用程序和自定义适配器可以利用 SSO 在整个环境中安全地存储和传输用户凭据。 最终用户不必为不同的应用程序记住不同的凭据。
SSO 系统组件
单 Sign-On 系统由凭据数据库、主机密服务器和一个或多个单 Sign-On 服务器组成。
SSO 系统包含管理员定义的 关联应用程序 。 关联应用程序是一个逻辑实体,表示使用企业单一登录连接到的系统或子系统,例如主机、后端系统或业务线应用程序。 每个关联应用程序都具有多个用户映射;例如,关联应用程序具有 Active Directory 中的用户凭据与其对应的 RACF 凭据之间的映射。
凭据数据库是SQL Server数据库,用于存储有关关联应用程序的信息,以及所有关联应用程序的所有加密用户凭据。
主密钥服务器 是存储主密钥的企业单一登录服务器。 系统中所有其他单 Sign-On 服务器从主机密服务器获取主机密。
SSO 系统还包含一个或多个 SSO 服务器。 这些服务器在 Windows 和后端凭据之间执行映射,并在凭据数据库中查找凭据。 管理员可使用这些服务器来维护 SSO 系统。
注意
SSO 系统中只能有一个主机密服务器和一个凭据数据库。 凭据数据库可以远程连接到主机密服务器。
注意
企业单一 Sign-On 在工作组环境中功能有限,仅支持配置存储方案。 单 Sign-On 方案和密码同步方案需要域环境。