若要了解企業單一登錄,查看目前可用的三種單一 Sign-On 服務相當實用:Windows 整合、外部網路和內部網路。 以下是說明,單一企業 Sign-On 屬於第三類。
Windows 整合式單一 Sign-On
這些服務可讓您連線到網路內使用一般驗證機制的多個應用程式。 這些服務會在您登入網路之後要求並驗證您的認證,並使用您的認證來判斷您可以根據用戶權力執行的動作。 例如,如果應用程式使用 Kerberos 進行整合,在系統驗證您的使用者認證之後,您就可以存取與 Kerberos 整合的網路中的任何資源。
外部網絡單一登入 Sign-On(Web SSO)
這些服務可讓您使用一組使用者認證,透過因特網存取資源。 使用者提供一組認證來登入屬於不同組織的不同網站。 這種類型的單一 Sign-On 的範例是 Windows Live ID,應用於消費者應用程式。 針對同盟案例,Microsoft Active Directory 同盟服務會啟用Web SSO。
Server-Based 內部網路單一 Sign-On
這些服務可讓您在企業環境中整合多個異質應用程式和系統。 這些應用程式和系統可能不會使用一般驗證。 每個應用程式都有自己的使用者目錄存放區。 例如,在組織中,Windows 會使用 Active Directory 目錄服務來驗證使用者,而大型主機則使用 IBM 的資源存取控制裝置 (RACF) 來驗證相同的使用者。 在企業中,中間件應用程式會整合前端和後端應用程式。 企業單一 Sign-On 可讓企業中的使用者只使用一組認證來連線到前端和後端。 它支援 Windows 發起單一 Sign-On(初始請求從 Windows 網域環境提出),以及主機發起單一 Sign-On(初始請求從非 Windows 網域環境提出),以存取 Windows 網域中的資源。
此外, 密碼同步處理 可簡化 SSO 資料庫的管理,並讓密碼在使用者目錄之間保持同步。 這是透過使用密碼同步處理配接器來完成的,您可以使用密碼同步處理工具來設定和管理。
企業單一 Sign-On 系統
企業單一 Sign-On (SSO) 提供服務,以跨本機和網路界限儲存和傳輸加密的用戶認證,包括網域界限。 SSO 會將認證儲存在 SSO 資料庫中。 由於 SSO 提供一般單一登錄解決方案,因此中間件應用程式和自定義配接器可以利用 SSO 安全地儲存及傳輸整個環境的使用者認證。 終端使用者不需要記住不同應用程式的不同認證。
單一 Sign-On 系統包含 SSO 資料庫、主要密碼伺服器,以及一或多個單一 Sign-On 伺服器。
SSO 系統包含系統管理員所定義的分支機構應用程式。 分支機構應用程式是一個邏輯實體,代表系統或子系統,例如主機、後端系統或企業營運應用程式,而您使用企業單一登錄來連線。 每個分支機構應用程式都有多個用戶對應;例如,它具有 Active Directory 中使用者認證與其對應 RACF 認證之間的對應。
SSO 資料庫是 SQL Server 資料庫,可儲存聯盟應用程式的相關信息,以及所有聯盟應用程式的所有加密用戶認證。
主要密碼伺服器是儲存主要密碼的企業單一 Sign-On 伺服器。 系統中所有其他單一 Sign-On 伺服器都會從主要密碼伺服器取得主要密碼。
SSO 系統也包含一或多個 SSO 伺服器。 這些伺服器會執行 Windows 與後端認證之間的對應、查閱 SSO 資料庫中的認證,以及系統管理員使用這些認證來維護 SSO 系統。
備註
您只能有一部主要秘密伺服器,而且您的 SSO 系統中只能有一個 SSO 資料庫。 SSO 資料庫可以遠端至主要秘密伺服器。