Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per comprendere l'accesso Single Sign-On aziendale, è utile esaminare i tre tipi di servizi Single Sign-On attualmente disponibili: Integrazione di Windows, Extranet e Intranet. Queste sono descritte di seguito, con Enterprise Single Sign-On che rientra nella terza categoria.
Windows Integrated Single Sign-On
Questi servizi consentono di connettersi a più applicazioni all'interno della rete che usano un meccanismo di autenticazione comune. Questi servizi richiedono e verificano le credenziali dopo l'accesso alla rete e usano le credenziali per determinare le azioni che è possibile eseguire in base ai diritti utente. Ad esempio, se le applicazioni si integrano usando Kerberos, dopo che il sistema autentica le credenziali utente, è possibile accedere a qualsiasi risorsa nella rete integrata con Kerberos.
Extranet Single Sign-On (Web SSO)
Questi servizi consentono di accedere alle risorse tramite Internet usando un singolo set di credenziali utente. L'utente fornisce un set di credenziali per accedere a siti Web diversi che appartengono a organizzazioni diverse. Un esempio di questo tipo di singolo Sign-On è Windows Live ID per le applicazioni per i consumatori. Per gli scenari federati, Microsoft Active Directory Federation Services abilita l'accesso SSO Web.
Server-Based Intranet Singola Sign-On
Questi servizi consentono di integrare più applicazioni e sistemi eterogenei all'interno dell'ambiente aziendale. Queste applicazioni e sistemi potrebbero non usare l'autenticazione comune. Ogni applicazione ha un proprio archivio di directory degli utenti. In un'organizzazione, ad esempio, Windows usa il servizio directory di Active Directory per autenticare gli utenti e i mainframe usano la funzionalità RACF (Resource Access Control Facility) di IBM per autenticare gli stessi utenti. All'interno dell'azienda, le applicazioni middleware integrano le applicazioni front-end e back-end. Enterprise Single Sign-On consente agli utenti dell'organizzazione di connettersi sia al front-end che al back-end usando un solo set di credenziali. Consente sia il single Sign-On avviato da Windows (in cui la richiesta iniziale viene effettuata dall'ambiente di dominio Windows) sia l'Sign-On Single avviato dall'host (in cui viene effettuata la richiesta iniziale da un ambiente di dominio non Windows) per accedere a una risorsa nel dominio Windows.
Inoltre, la sincronizzazione delle password semplifica l'amministrazione del database SSO e mantiene le password sincronizzate tra le directory utente. Questa operazione viene eseguita tramite l'uso di adattatori di sincronizzazione delle password, che è possibile configurare e gestire usando gli strumenti di sincronizzazione delle password.
Sistema Single Sign-On Enterprise
Enterprise Single Sign-On (SSO) fornisce servizi per archiviare e trasmettere le credenziali utente crittografate attraverso i limiti di rete e locali, inclusi i limiti di dominio. SSO archivia le credenziali nel database SSO. Poiché SSO offre una soluzione single sign-on generica, le applicazioni middleware e gli adattatori personalizzati possono sfruttare l'accesso SSO per archiviare e trasmettere in modo sicuro le credenziali utente nell'ambiente. Gli utenti finali non devono ricordare credenziali diverse per applicazioni diverse.
Il sistema Single Sign-On è costituito da un database SSO, da un server master secret e da uno o più server Single Sign-On.
Il sistema SSO contiene applicazioni affiliate definite da un amministratore. Un'applicazione affiliata è un'entità logica che rappresenta un sistema o un sotto-sistema, ad esempio un host, un sistema back-end o un'applicazione line-of-business a cui ci si connette tramite Enterprise Single Sign-On. Ogni applicazione associata ha più mapping utente. Per esempio, presenta i mapping tra le credenziali di un utente in Active Directory e le relative credenziali RACF.
Il database SSO è il database di SQL Server che archivia le informazioni sulle applicazioni affiliate, nonché tutte le credenziali utente crittografate per tutte le applicazioni affiliate.
Il server del segreto principale è il server Enterprise Single Sign-On che archivia il segreto principale. Tutti gli altri server singoli Sign-On nel sistema ottengono il segreto principale dal server master secret.
Il sistema SSO contiene anche uno o più server SSO. Questi server eseguono il mapping tra le credenziali di Windows e back-end, cercare le credenziali nel database SSO e gli amministratori li usano per gestire il sistema SSO.
Annotazioni
È possibile avere un solo server master secret e un solo database SSO nel sistema SSO. Il database SSO può essere remoto al server master secret.