Enterprise 單一 Sign-On 基本概念

若要瞭解 Enterprise 單一 Sign-On (SSO) ,請查看目前可用的三種單一 Sign-On 服務類型: Windows 整合、外部網路和內部網路。 這些將在下列各節中說明,Enterprise 單一 Sign-On 落在第三個類別中。

Windows 整合的單一登入

這些服務可讓您在使用通用驗證機制的網路內連接多個應用程式。 在您登入網路後,這些服務會要求及驗證您的認證,並使用這些認證,依據您的使用者權限決定您可以執行的動作。 例如,如果應用程式是使用 Kerberos 進行整合,則在系統驗證您的使用者認證之後,您就可以存取網路中與 Kerberos 整合的任何資源。

外部網路單一登入 (Web SSO)

這些服務可讓您只使用一組使用者認證在網際網路上存取資源。 使用者提供一組認證登入分屬不同公司的不同網站。 這種類型的單一 Sign-On 的範例,就是以取用者為基礎的應用程式 Windows 的 Live ID。 針對同盟案例,Active Directory 同盟服務會啟用 Web SSO。

以伺服器為基礎的內部網路單一登入

這些服務可讓您在企業環境中整合多個異類應用程式和系統。 這些應用程式和系統可能不會使用一般驗證。 每個應用程式都有自己的使用者目錄存放區。 例如,在某家公司中,Windows 使用 Active Directory 目錄服務來驗證使用者,而大型主機則是使用 IBM 的 Resource Access Control Facility (RACF) 來驗證相同的使用者。 在企業內,中介軟體應用程式會整合前端和後端應用程式。 「企業單一登入」讓企業中的使用者僅使用一組認證來連接前端與後端。 這樣可讓「Windows 整合的單一登入」(其中初始要求是從 Windows 網域環境發出的) 以及「主控件初始的單一登入」(其中初始要求是從非 Windows 網域環境發出的) 都能存取 Windows 網域中的資源。

除此之外,[密碼同步] 也簡化了 SSO 資料庫的管理作業,讓使用者目錄之間的密碼保持同步。 您可以使用密碼同步處理介面卡來進行這項作業,您可以使用密碼同步處理工具進行設定和管理。

企業單一登入系統

Enterprise 單一 Sign-On 可提供服務來跨本機和網路界限(包括網域界限)儲存和傳輸加密的使用者認證。 SSO 會將認證儲存在認證資料庫中。 因為 SSO 提供一般單一登入解決方案,中介軟體應用程式和自訂介面卡可利用 SSO 在整個環境中安全地儲存和傳輸使用者認證。 一般使用者不用再記住各個應用程式的不同認證了。

SSO 系統元件

單一 Sign-On 系統包含認證資料庫、主要密碼伺服器,以及一或多個單一 Sign-On 伺服器。

SSO 系統包含了系統管理員所定義的分支機構應用程式。 分支機搆應用程式是代表系統或子系統的邏輯實體,例如主機、後端系統或您使用企業單一登入連接的企業營運系統應用程式。 每個分支機構應用程式都有多個使用者對應;例如,它在 Active Directory 中使用者的認證與對應的 RACF 憑證之間具有對應。

認證資料庫是儲存分支機搆應用程式相關資訊的 SQL Server 資料庫,以及所有分支機搆應用程式的所有加密使用者認證。

主要密碼伺服器是儲存主要密碼的「企業單一登入」伺服器。 系統中的所有其他單一 Sign-On 伺服器都會從主要密碼伺服器取得主要密碼。

SSO 系統也包含一或多個 SSO 伺服器。 這些伺服器會進行 Windows 與後端認證之間的對應,並查閱認證資料庫中的認證。 系統管理員會使用它們來維護 SSO 系統。

注意

您的 SSO 系統中只能有一個主要密碼伺服器和一個認證資料庫。 認證資料庫可以從遠端到主要密碼伺服器。

注意

Enterprise 單一 Sign-On 在工作組環境中的功能有限,僅支援 config store 案例。 單一 Sign-On 案例和密碼同步案例都需要網域環境。

本節內容