 |
返回文章
SSO 对操作系统登录的改进
我们使用“单点登录”这一术语,指代可以让用户只在 Web 服务器上登录一次,便可以访问启用了 SSO 的域中的任何服务器,而无需再次登录。实质就是获得对 Web 内容的访问权限。
SSO 有时会与操作系统单点登录相混淆,在操作系统单点登录中,应用程序(例如 Notes)可以配置为接受与登录操作系统(如典型的 Windows)相同的密码。这样当登录到应用程序时,用户不需要再次输入密码,从而方便了用户,这有时仅限于运行在可以通过操作系统登录的工作站上的应用程序。
让我们用最近的开发来报告关于 SSO 和操作系统登录方面的关系:Tivoli Access Manager 5.1 现在提供桥接 Web SSO 和操作系统 SSO 的 SSO。特别是 WebSEAL 反向代理服务器现在支持带有 Windows 桌面登录的 SSO。用户从登录到 Windows(在 Active Directory 域中)开始。进行 Windows 登录后,用户启动浏览器。不需要任何重复的登录步骤,用户现在可以浏览 Domino 或 WebSphere SSO 服务器上的 URL,如果这一 URL 由 WebSEAL 反向代理服务器保护的话。用户的 Windows 登录转到 Web 环境中,并且不需要附加的登录到多平台的 SSO 服务器。真是神奇,简直无法相信!
为了使您确信这一级别的 SSO 集成是真正的集成,让我们更详细地探讨一下 Tivoli Access Manager 5.1 桌面登录功能。注意,我们的方案依赖于内置的 Windows 安全性基础设施 —— Kerberos。Kerberos 是一种安全性协议,已经应用于任何带有 Active Directory 的 Windows 部署。用户登录到 Windows 的幕后结果是用户具有了称作 Kerberos 证书的东西。这些证书与通行证相似,证书证明了用户的身份。进行 Windows 登录后,用户可以启动他的浏览器,在这种情况下必须是 Kerberos 能够识别的浏览器,通常是 Internet Explorer(但 Firefox 和其他的浏览器也都能正常运行)。现在就允许用户浏览受 Tivoli Access Manager(WebSEAL 反向代理服务器)保护的 URL,而无需再次登录,这就是 Kerberos 的神秘之处。在两端都需要 Kerberos 支持:浏览器和反向代理服务器。特定的协商代替了代理服务器接受浏览器能够识别的 Windows Kerberos 登录。这个协商称作 SPNEGO,SPNEGO 指的是 Simple and Protected Negotiation。为使用户的 Windows 登录能够转到 Web 环境中,而不需要附加的登录,必须为 SPNEGO 和 Kerberos 配置浏览器和代理服务器。
在这个 SSO 配置中使用 WebSEAL 代理服务器的重要性不容低估。配置到 Domino 和 WebSphere 的 SSO 完全可以使用 WebSEAL 代理服务器进行管理,WebSEAL 代理服务器能够创建 LTPA cookie。接受了用户的 Windows 登录之后,WebSEAL 代理服务器将为用户创建一个 LTPA cookie。WebSEAL 将这个 LTPA cookie 传送到后端 SSO 服务器,这样将不会再次要求进行登录。Tivoli Access Manager 5.1 现在已经可用了;如果需要 SSO 的全部功能,那么尝试一下 Tivoli Access Manager 吧。
返回文章
| |
|
