Grundlegendes zu SSO
Um das einmalige Anmelden in Enterprise zu verstehen, ist es hilfreich, sich die drei Arten von Diensten für single Sign-On anzusehen, die derzeit verfügbar sind: Integrierte Windows-Dienste, Extranet und Intranet. Diese Diensttypen werden nachfolgend beschrieben, wobei Einmaliges Anmelden für Unternehmen in die dritte Kategorie fällt.
Windows-integriertes Einmaliges Anmelden
Diese Dienste ermöglichen das Verbinden mit mehreren Anwendungen im Netzwerk, die einen gemeinsamen Authentifizierungsmechanismus verwenden. Diese Dienste fordern nach der Anmeldung am Netzwerk die Anmeldeinformationen des Benutzers an, überprüfen diese und bestimmen anschließend die Aktionen, die der Benutzer basierend auf seinen Benutzerrechten ausführen darf. Wenn Anwendungen beispielsweise über Kerberos integriert sind, kann der Benutzer, nachdem das System seine Anmeldeinformationen authentifiziert hat, auf alle Ressourcen im Netzwerk zugreifen, die mit Kerberos integriert sind.
Einmaliges Anmelden über Extranet (Web-SSO)
Diese Dienste ermöglichen einen Zugriff auf Ressourcen über das Internet mittels eines einzelnen Satzes von Benutzeranmeldeinformationen. Der Benutzer gibt einen Satz von Anmeldeinformationen an, um sich an verschiedenen Websites anzumelden, die zu verschiedenen Organisationen gehören. Ein Beispiel dieses Typs des Einmaligen Anmeldens ist Windows Live ID für Anwendungen für Privatkunden. In Verbundszenarien ermöglichen die Active Directory-Verbunddienste ein Einmaliges Anmelden per Extranet.
Serverbasiertes Einmaliges Anmelden über Intranet
Diese Dienste ermöglichen die Integration mehrerer heterogener Anwendungen und Systeme in der Unternehmensumgebung. Diese Anwendungen und Systeme arbeiten ggf. nicht mit einer gemeinsamen Authentifizierung. Jede Anwendung hat einen eigenen Benutzerverzeichnisspeicher. In einer Organisation verwendet beispielsweise Windows den Active Directory-Verzeichnisdienst zum Authentifizieren von Benutzern, und Großrechner verwenden die Resource Access Control Facility (RACF) von IBM zum Authentifizieren derselben Benutzer. Innerhalb der Organisation werden die Front-End- und Back-End-Anwendungen mithilfe sog. Middlewareanwendungen integriert. Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On, SSO) ermöglicht Benutzern im Unternehmen das Herstellen einer Verbindung mit sowohl dem Front-End als auch dem Back-End über lediglich einen Satz von Anmeldeinformationen. Es ermöglicht ein von Windows initiiertes Einmaliges Anmelden (bei dem die auslösende Anforderung in der Windows-Domänenumgebung erfolgt) und ein vom Host initiiertes Einmaliges Anmelden (bei dem die auslösende Anforderung in einer Nicht-Windows-Domänenumgebung erfolgt) für den Zugriff auf eine Ressource in der Windows-Domäne.
Darüber hinaus vereinfacht die Kennwortsynchronisierung die Verwaltung der SSO-Datenbank und hält Kennwörter in Benutzerverzeichnissen synchron. Dies erfolgt über den Einsatz von Kennwortsynchronisierungsadaptern, die Sie mithilfe der Kennwortsynchronisierungstools konfigurieren und verwalten können.
Das System für Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On)
Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On, SSO) stellt Dienste zum Speichern und Übertragen verschlüsselter Benutzeranmeldeinformationen über die lokalen Grenzen und Netzwerkgrenzen (einschließlich Domänengrenzen) hinweg bereit. SSO speichert die Anmeldeinformationen in der SSO-Datenbank. Da SSO eine allgemeine Lösung zum einmaligen Anmelden bietet, kann diese Funktion durch Middlewareanwendungen und benutzerdefinierte Adapter ergänzt werden, sodass ein sicheres Speichern und Übertragen von Benutzeranmeldeinformationen überall in der Umgebung möglich ist. Endbenutzer müssen daher für verschiedene Anwendungen keine unterschiedlichen Anmeldeinformationen festlegen.
Das SSO-System besteht aus einer SSO-Datenbank, einem Server für den geheimen Hauptschlüssel und mindestens einem SSO-Server.
Das SSO-System enthält Partneranwendungen, die von einem Administrator definiert werden. Eine Partneranwendung ist eine logische Entität, die ein System oder Subsystem (z. B. einen Host, ein Back-End-System oder eine Branchenanwendung) darstellt, mit dem Sie mithilfe des Einmaligen Anmeldens für Unternehmen eine Verbindung herstellen. Für jede Partneranwendung gibt es mehrere Benutzerzuordnungen, z. B. die Zuordnungen zwischen den Anmeldeinformationen für einen Benutzer in Active Directory und den zugehörigen RACF-Anmeldeinformationen.
Bei der SSO-Datenbank handelt es sich um die SQL Server-Datenbank, die die Informationen zu den Partneranwendungen sowie alle verschlüsselten Benutzeranmeldeinformationen für alle Partneranwendungen speichert.
Der Server für den geheimen Hauptschlüssel ist der Server für Einmaliges Anmelden für Unternehmen, auf dem der geheime Hauptschlüssel gespeichert ist. Alle anderen SSO-Server im System erhalten den geheimen Hauptschlüssel vom Server für den geheimen Hauptschlüssel.
Das SSO-System enthält auch mindestens einen SSO-Server. Diese Server sorgen für die Zuordnung zwischen Windows- und Back-End-Anmeldeinformationen und überprüfen die Anmeldeinformationen in der SSO-Datenbank. Administratoren nutzen sie, um das SSO-System zu verwalten.
Hinweis
Im System für Einmaliges Anmelden darf es nur einen Server für den geheimen Hauptschlüssel und nur eine SSO-Datenbank geben. Die SSO-Datenbank darf sich auf einem Remoteserver des Servers für den geheimen Hauptschlüssel befinden.