Enterprise Single Sign-On – Grundlagen
Um enterprise Single Sign-On (SSO) zu verstehen, ist es nützlich, sich die drei Typen von Single Sign-On Services anzusehen, die derzeit verfügbar sind: Integrierte Windows-Dienste, Extranet und Intranet. Diese werden in den folgenden Abschnitten beschrieben, wobei Enterprise Single Sign-On in die dritte Kategorie fällt.
Windows-integriertes Einmaliges Anmelden
Diese Dienste ermöglichen das Verbinden mit mehreren Anwendungen im Netzwerk, die einen gemeinsamen Authentifizierungsmechanismus verwenden. Diese Dienste fordern nach der Anmeldung am Netzwerk die Anmeldeinformationen des Benutzers an, überprüfen diese und bestimmen anschließend die Aktionen, die der Benutzer basierend auf seinen Benutzerrechten ausführen darf. Wenn Anwendungen beispielsweise mithilfe von Kerberos integriert werden, können Sie nach der Authentifizierung Ihrer Benutzeranmeldeinformationen auf jede Ressource im Netzwerk zugreifen, die in Kerberos integriert ist.
Einmaliges Anmelden über Extranet (Web-SSO)
Diese Dienste ermöglichen einen Zugriff auf Ressourcen über das Internet mittels eines einzelnen Satzes von Benutzeranmeldeinformationen. Der Benutzer gibt einen Satz von Anmeldeinformationen an, um sich an verschiedenen Websites anzumelden, die zu verschiedenen Organisationen gehören. Ein Beispiel für diesen Typ von Single Sign-On ist die Windows Live ID für consumerbasierte Anwendungen. Für Verbundszenarien aktiviert Active Directory-Verbunddienste (AD FS) Web-SSO.
Serverbasiertes Einmaliges Anmelden über Intranet
Mit diesen Diensten können Sie mehrere heterogene Anwendungen und Systeme in die Unternehmensumgebung integrieren. Diese Anwendungen und Systeme verwenden möglicherweise keine allgemeine Authentifizierung. Jede Anwendung hat einen eigenen Benutzerverzeichnisspeicher. In einer Organisation verwendet beispielsweise Windows den Active Directory-Verzeichnisdienst zum Authentifizieren von Benutzern, und Großrechner verwenden die Resource Access Control Facility (RACF) von IBM zum Authentifizieren derselben Benutzer. Innerhalb der Organisation werden die Front-End- und Back-End-Anwendungen mithilfe sog. Middlewareanwendungen integriert. Einmaliges Anmelden für Unternehmen (Enterprise Single Sign-On, SSO) ermöglicht Benutzern im Unternehmen das Herstellen einer Verbindung mit sowohl dem Front-End als auch dem Back-End über lediglich einen Satz von Anmeldeinformationen. Es ermöglicht ein von Windows initiiertes Einmaliges Anmelden (bei dem die auslösende Anforderung in der Windows-Domänenumgebung erfolgt) und ein vom Host initiiertes Einmaliges Anmelden (bei dem die auslösende Anforderung in einer Nicht-Windows-Domänenumgebung erfolgt) für den Zugriff auf eine Ressource in der Windows-Domäne.
Darüber hinaus vereinfacht die Kennwortsynchronisierung die Verwaltung der SSO-Datenbank und hält Kennwörter benutzerverzeichnisübergreifend synchron. Dazu können Sie Kennwortsynchronisierungsadapter verwenden, die Sie mithilfe der Kennwortsynchronisierungstools konfigurieren und verwalten können.
Einmaliges Anmelden für Unternehmen (SSO) (System)
Enterprise Single Sign-On bietet Dienste zum Speichern und Übertragen verschlüsselter Benutzeranmeldeinformationen über lokale und Netzwerkgrenzen hinweg, einschließlich Domänengrenzen. SSO speichert die Anmeldeinformationen in der Anmeldeinformationsdatenbank. Da SSO eine generische Lösung für einmaliges Anmelden bietet, können Middlewareanwendungen und benutzerdefinierte Adapter SSO nutzen, um Benutzeranmeldeinformationen sicher in der gesamten Umgebung zu speichern und zu übertragen. Endbenutzer müssen daher für verschiedene Anwendungen keine unterschiedlichen Anmeldeinformationen festlegen.
SSO-Systemkomponenten
Das Single Sign-On-System besteht aus einer Anmeldeinformationsdatenbank, einem master Geheimnisserver und einem oder mehreren Single Sign-On-Servern.
Das SSO-System enthält Partneranwendungen, die von einem Administrator definiert werden. Eine Partneranwendung ist eine logische Entität, die ein System oder Untersystem darstellt, z. B. einen Host, ein Back-End-System oder eine Branchenanwendung, mit der Sie mithilfe des einmaligen Anmeldens von Enterprise eine Verbindung herstellen. Für jede Partneranwendung gibt es mehrere Benutzerzuordnungen, z. B. die Zuordnungen zwischen den Anmeldeinformationen für einen Benutzer in Active Directory und den zugehörigen RACF-Anmeldeinformationen.
Die Anmeldeinformationsdatenbank ist die SQL Server Datenbank, in der die Informationen zu den Partneranwendungen sowie alle verschlüsselten Benutzeranmeldeinformationen für alle Partneranwendungen gespeichert werden.
Der Server für den geheimen Hauptschlüssel ist der Server für Einmaliges Anmelden für Unternehmen, auf dem der geheime Hauptschlüssel gespeichert ist. Alle anderen Single Sign-On Server im System erhalten das master Geheimnis vom master Geheimnisserver.
Das SSO-System enthält auch einen oder mehrere SSO-Server. Diese Server führen die Zuordnung zwischen den Windows- und Back-End-Anmeldeinformationen durch und suchen die Anmeldeinformationen in der Anmeldeinformationsdatenbank. Administratoren verwenden sie zum Warten des SSO-Systems.
Hinweis
Sie können nur einen master Geheimnisserver und nur eine Anmeldeinformationsdatenbank in Ihrem SSO-System haben. Die Anmeldeinformationsdatenbank kann sich remote zum master Geheimnisservers befinden.
Hinweis
Enterprise Single Sign-On verfügt über eingeschränkte Funktionalität in einer Arbeitsgruppenumgebung, die nur Konfigurationsspeicherszenarien unterstützt. Eine Domänenumgebung ist für Szenarien mit Sign-On und Kennwortsynchronisierung erforderlich.