Aspectos básicos de Enterprise Single Sign-On

Para comprender enterprise Single Sign-On (SSO), es útil examinar los tres tipos de servicios de Single Sign-On disponibles hoy en día: Windows integrado, extranet e intranet. Estos se describen en las secciones siguientes, con Enterprise Single Sign-On que se encuentran en la tercera categoría.

Inicio de sesión único (SSO) integrado de Windows

Estos servicios permiten conectarse a varias aplicaciones de la red que utilizan un mecanismo de autenticación común. Estos servicios solicitan y comprueban las credenciales tras iniciar sesión en la red, y utilizan esas credenciales para determinar las acciones que se pueden llevar a cabo en función de los derechos del usuario. Por ejemplo, si las aplicaciones se integran con Kerberos, una vez que el sistema autentique las credenciales de usuario, puede acceder a cualquier recurso de la red integrada con Kerberos.

Inicio de sesión único (SSO web) de extranet

Estos servicios permiten el acceso a los recursos a través de Internet utilizando un solo conjunto de credenciales de usuario. El usuario proporciona un conjunto de credenciales para iniciar sesión en diferentes sitios web pertenecientes a distintas organizaciones. Un ejemplo de este tipo de Single Sign-On es Windows Live ID para aplicaciones basadas en consumidores. En escenarios federados, Servicios de federación de Active Directory (AD FS) habilita el inicio de sesión único web.

Inicio de sesión único (SSO) de intranet basado en servidor

Estos servicios permiten integrar varias aplicaciones y sistemas heterogéneos en el entorno empresarial. Es posible que estas aplicaciones y sistemas no usen la autenticación común. Cada aplicación tiene su propio almacén de directorios de usuario. Por ejemplo, en una organización, Windows utiliza el servicio de directorio Active Directory para autenticar usuarios, y los grandes sistemas (mainframes) utilizan Resource Access Control Facility (RACF) de IBM para autenticar los mismos usuarios. En la empresa, las aplicaciones de software intermedio integran las aplicaciones de servidor y aplicaciones para usuarios. El inicio de sesión único (SSO) empresarial permite a los usuarios de la empresa conectarse tanto a las aplicaciones de servidor como a las aplicaciones para usuarios al utilizar únicamente un conjunto de credenciales. Permite que tanto el inicio de sesión único (SSO) iniciado por Windows (en el que la solicitud inicial se efectúa desde el entorno de dominio de Windows) como el inicio de sesión único (SSO) iniciado por host (en el que la solicitud inicial se efectúa desde un entorno de dominio ajeno a Windows) tengan acceso a un recurso del dominio de Windows.

Además, Sincronización de contraseñas simplifica la administración de la base de datos de SSO y sincroniza las contraseñas en todos los directorios de usuario. Puede hacerlo mediante adaptadores de sincronización de contraseñas, que puede configurar y administrar mediante las herramientas de sincronización de contraseñas.

Sistema de inicio de sesión único empresarial (SSO)

Enterprise Single Sign-On proporciona servicios para almacenar y transmitir credenciales de usuario cifradas a través de límites de red y locales, incluidos los límites de dominio. El inicio de sesión único almacena las credenciales en la base de datos de credenciales. Dado que SSO proporciona una solución genérica de inicio de sesión único, las aplicaciones de middleware y los adaptadores personalizados pueden aprovechar el inicio de sesión único para almacenar y transmitir credenciales de usuario de forma segura en todo el entorno. Los usuarios finales no necesitan recordar distintas credenciales para aplicaciones diferentes.

Componentes del sistema de SSO

El sistema single Sign-On consta de una base de datos de credenciales, un servidor secreto maestro y uno o varios servidores de Sign-On único.

El sistema SSO contiene aplicaciones afiliadas que el administrador define. Una aplicación afiliada es una entidad lógica que representa un sistema o un subsistema, como un host, un sistema back-end o una aplicación de línea de negocio a la que se conecta mediante el inicio de sesión único de empresa. Cada aplicación afiliada tiene varias asignaciones de usuario; por ejemplo, tiene asignaciones establecidas entre las credenciales de un usuario en Active Directory y las credenciales de RACF correspondientes.

La base de datos credential es la base de datos SQL Server que almacena la información sobre las aplicaciones afiliadas, así como todas las credenciales de usuario cifradas para todas las aplicaciones afiliadas.

El servidor secreto principal es el servidor de inicio de sesión único (SSO) empresarial que almacena el secreto principal. El resto de servidores single Sign-On del sistema obtienen el secreto maestro del servidor de secretos maestros.

El sistema SSO también contiene uno o varios servidores SSO. Estos servidores realizan la asignación entre las credenciales de Windows y back-end y buscan las credenciales en la base de datos de credenciales. Los administradores los utilizan para el mantenimiento del sistema de SSO.

Nota

Solo puede tener un servidor secreto maestro y una base de datos de credenciales en el sistema de SSO. La base de datos de credenciales puede ser remota al servidor secreto maestro.

Nota

Enterprise Single Sign-On tiene funcionalidad limitada en un entorno de grupo de trabajo, que solo admite escenarios de almacén de configuración. Se requiere un entorno de dominio para escenarios de Sign-On único y escenarios de sincronización de contraseñas.

En esta sección