Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Para comprender el inicio de sesión único de Enterprise, es útil examinar los tres tipos de servicios single Sign-On disponibles actualmente: Windows integrado, extranet e intranet. Estos se describen a continuación, con Enterprise Single Sign-On cayendo en la tercera categoría.
Windows Integrated Single Sign-On
Estos servicios permiten conectarse a varias aplicaciones dentro de la red que usan un mecanismo de autenticación común. Estos servicios solicitan y comprueban las credenciales después de iniciar sesión en la red y usan sus credenciales para determinar las acciones que puede realizar en función de los derechos de usuario. Por ejemplo, si las aplicaciones se integran mediante Kerberos, una vez que el sistema autentique las credenciales de usuario, puede acceder a cualquier recurso de la red que esté integrado con Kerberos.
Extranet Single Sign-On (SSO web)
Estos servicios permiten acceder a los recursos a través de Internet mediante un único conjunto de credenciales de usuario. El usuario proporciona un conjunto de credenciales para iniciar sesión en diferentes sitios web que pertenecen a diferentes organizaciones. Un ejemplo de este tipo de Single Sign-On es Windows Live ID para aplicaciones orientadas al consumidor. En escenarios federados, Los servicios de federación de Microsoft Active Directory habilitan el inicio de sesión único web.
Server-Based Intranet única Sign-On
Estos servicios permiten integrar varias aplicaciones y sistemas heterogéneos en el entorno empresarial. Es posible que estas aplicaciones y sistemas no usen autenticación común. Cada aplicación tiene su propio almacén de directorios de usuario. Por ejemplo, en una organización, Windows usa el servicio de directorio de Active Directory para autenticar a los usuarios y los sistemas centrales usan la instancia de Resource Access Control Facility (RACF) de IBM para autenticar a los mismos usuarios. Dentro de la empresa, las aplicaciones de middleware integran las aplicaciones front-end y back-end. Enterprise Single Sign-On permite a los usuarios de la empresa conectarse tanto al front-end como al back-end al usar solo un conjunto de credenciales. Habilita tanto el Sign-On único iniciado por Windows (en el que se realiza la solicitud inicial desde el entorno de dominio de Windows) como el Sign-On único iniciado por host (en el que se realiza la solicitud inicial desde un entorno de dominio que no es de Windows) para acceder a un recurso en el dominio de Windows.
Además, la sincronización de contraseñas simplifica la administración de la base de datos de SSO y mantiene sincronizadas las contraseñas entre los directorios de usuario. Esto se hace mediante el uso de adaptadores de sincronización de contraseñas, que puede configurar y administrar mediante las herramientas de sincronización de contraseñas.
El Sistema Único Sign-On de Empresa
Enterprise Single Sign-On (SSO) proporciona servicios para almacenar y transmitir credenciales de usuario cifradas a través de límites de red y locales, incluidos los límites de dominio. SSO almacena las credenciales en la base de datos de SSO. Dado que SSO proporciona una solución genérica de inicio de sesión único, las aplicaciones de middleware y los adaptadores personalizados pueden aprovechar el inicio de sesión único para almacenar y transmitir credenciales de usuario de forma segura en todo el entorno. Los usuarios finales no tienen que recordar credenciales diferentes para diferentes aplicaciones.
El sistema Single Sign-On consta de una base de datos SSO, un servidor maestro secreto, y uno o varios servidores Single Sign-On.
El sistema SSO contiene aplicaciones afiliadas que define un administrador. Una aplicación afiliada es una entidad lógica que representa un sistema o un subsistema, como un host, un sistema back-end o una aplicación de línea de negocio a la que se conecta mediante el inicio de sesión único de Enterprise. Cada aplicación afiliada tiene varias asignaciones de usuarios; por ejemplo, tiene las asignaciones entre las credenciales de un usuario de Active Directory y sus credenciales de RACF correspondientes.
La base de datos SSO es la base de datos de SQL Server que almacena la información sobre las aplicaciones afiliadas, así como todas las credenciales de usuario cifradas para todas las aplicaciones afiliadas.
El servidor secreto maestro es el servidor enterprise single Sign-On que almacena el secreto maestro. Todos los demás servidores single Sign-On del sistema obtienen el secreto maestro del servidor de secretos maestros.
El sistema SSO también contiene uno o varios servidores SSO. Estos servidores realizan la asignación entre las credenciales de Windows y back-end, buscan las credenciales en la base de datos de SSO y los administradores las usan para mantener el sistema SSO.
Nota:
Solo puede tener un servidor secreto maestro y solo una base de datos de SSO en el sistema SSO. La base de datos SSO puede ser remota al servidor secreto maestro.