企業單一 Sign-On 基本概念
若要瞭解 Enterprise Single Sign-On (SSO) ,請查看目前可用的三種單一 Sign-On 服務類型會很有用:Windows 整合式、外部網路和內部網路。 下列各節將說明這些專案,其中企業單一 Sign-On 落到第三個類別。
Windows 整合的單一登入
這些服務可讓您在使用通用驗證機制的網路內連接多個應用程式。 在您登入網路後,這些服務會要求及驗證您的認證,並使用這些認證,依據您的使用者權限決定您可以執行的動作。 例如,如果應用程式使用 Kerberos 整合,在系統驗證您的使用者認證之後,您就可以存取與 Kerberos 整合的網路中的任何資源。
外部網路單一登入 (Web SSO)
這些服務可讓您只使用一組使用者認證在網際網路上存取資源。 使用者提供一組認證登入分屬不同公司的不同網站。 這種類型的單一 Sign-On 範例是消費者型應用程式的 Windows Live ID。 針對同盟案例,Active Directory 同盟服務會啟用 Web SSO。
以伺服器為基礎的內部網路單一登入
這些服務可讓您在企業環境中整合多個異質應用程式和系統。 這些應用程式和系統可能不會使用常見的驗證。 每個應用程式都有自己的使用者目錄存放區。 例如,在某家公司中,Windows 使用 Active Directory 目錄服務來驗證使用者,而大型主機則是使用 IBM 的 Resource Access Control Facility (RACF) 來驗證相同的使用者。 在企業內,中介軟體應用程式會整合前端和後端應用程式。 「企業單一登入」讓企業中的使用者僅使用一組認證來連接前端與後端。 這樣可讓「Windows 整合的單一登入」(其中初始要求是從 Windows 網域環境發出的) 以及「主控件初始的單一登入」(其中初始要求是從非 Windows 網域環境發出的) 都能存取 Windows 網域中的資源。
除此之外,[密碼同步] 也簡化了 SSO 資料庫的管理作業,讓使用者目錄之間的密碼保持同步。 您可以使用密碼同步處理配接器來執行這項操作,您可以使用密碼同步處理工具來設定和管理。
企業單一登入系統
企業單一 Sign-On 提供服務,可跨本機和網路界限儲存和傳輸加密的使用者認證,包括網域界限。 SSO 會將認證儲存在認證資料庫中。 因為 SSO 提供一般單一登入解決方案,所以中介軟體應用程式和自訂配接器可以利用 SSO,安全地儲存和傳輸整個環境的使用者認證。 一般使用者不用再記住各個應用程式的不同認證了。
SSO 系統元件
單一 Sign-On 系統包含認證資料庫、主要密碼伺服器,以及一或多個單一 Sign-On 伺服器。
SSO 系統包含了系統管理員所定義的分支機構應用程式。 聯盟應用程式是一個邏輯實體,代表系統或子系統,例如主機、後端系統,或您使用企業單一登入連線的企業營運應用程式。 每個分支機構應用程式都有多個使用者對應;例如,它在 Active Directory 中使用者的認證與對應的 RACF 憑證之間具有對應。
認證資料庫是SQL Server資料庫,可儲存聯盟應用程式的相關資訊,以及所有聯盟應用程式的所有加密使用者認證。
主要密碼伺服器是儲存主要密碼的「企業單一登入」伺服器。 系統中所有其他單一 Sign-On 伺服器都會從主要密碼伺服器取得主要密碼。
SSO 系統也包含一或多部 SSO 伺服器。 這些伺服器會執行 Windows 和後端認證之間的對應,並在認證資料庫中查閱認證。 系統管理員會使用它們來維護 SSO 系統。
注意
您只能有一部主要密碼伺服器,而且 SSO 系統中只能有一個認證資料庫。 認證資料庫可以是主要秘密伺服器的遠端。
注意
企業單一 Sign-On 在工作組環境中的功能有限,僅支援組態存放區案例。 單一 Sign-On 案例和密碼同步案例都需要網域環境。