Informazioni su SSO

Per comprendere Enterprise Single Sign-On, è utile esaminare i tre tipi di servizi Single Sign-On disponibili oggi: Windows integrato, extranet e intranet. Vengono descritti di seguito ed Enterprise Single Sign-On fa parte della terza categoria.

Single Sign-On integrato in Windows

Questi servizi consentono di connettersi a più applicazioni all'interno della rete che utilizzano un meccanismo di autenticazione comune. Questi servizi richiedono e verificano le credenziali dopo l'accesso alla rete da parte dell'utente e le utilizzano per determinare le azioni possibili in base ai diritti utente. Ad esempio, se le applicazioni integrano l'utilizzo di Kerberos, dopo che nel sistema sono state autenticate le credenziali utente è possibile accedere a qualsiasi risorsa di rete integrata con Kerberos.

Single Sign-On Extranet (Web SSO)

Questi servizi consentono di accedere alle risorse su Internet utilizzando un unico insieme di credenziali utente. L'utente fornisce un insieme di credenziali per accedere a diversi siti Web che appartengono a organizzazioni diverse. Un esempio di questo tipo di Single Sign-On è rappresentato da Windows Live ID per applicazioni basate sugli utenti. Per gli scenari federati, Microsoft Active Directory Federation Services consente Web SSO.

Single Sign-On Intranet basato su server

Questi servizi consentono di integrare più applicazioni e sistemi all'interno dell'ambiente dell'organizzazione. Tali applicazioni e sistemi non possono utilizzare l'autenticazione comune. Ogni applicazione dispone di un proprio archivio di directory utente. Ad esempio, in un'organizzazione, Windows utilizza il servizio Active Directory per l'autenticazione degli utenti, mentre i mainframe utilizzano RACF (Resource Access Control Facility) di IBM per l'autenticazione dei medesimi utenti. All'interno dell'organizzazione, le applicazioni middleware si integrano con le applicazioni front-end e back-end. Enterprise Single Sign-On consente agli utenti dell'organizzazione di connettersi alle applicazioni front-end e al back-end utilizzando un unico set di credenziali. Consente a Single Sign-On avviato da Windows (in cui la richiesta iniziale viene effettuata dall'ambiente di dominio di Windows) e a Single Sign-On avviato da host (in cui la richiesta iniziale viene effettuata da un ambiente di dominio diverso da Windows) di accedere a una risorsa nel dominio di Windows.

La sincronizzazione password semplifica inoltre l'amministrazione del database SSO e mantiene le password sincronizzate tra directory utente. Ciò avviene mediante l'utilizzo di adapter di sincronizzazione delle password, che è possibile configurare e gestire utilizzando gli strumenti di sincronizzazione delle password.

Il sistema Enterprise Single Sign-On

Enterprise Single Sign-On (SSO) fornisce servizi per archiviare e trasmettere le credenziali utente crittografate oltre i limiti locali e della rete, compresi quelli di dominio. SSO archivia le credenziali nel database SSO. Poiché SSO fornisce una soluzione di accesso unico generica, le applicazioni middleware e gli adapter personalizzati possono utilizzare SSO per archiviare e trasmettere in sicurezza le credenziali utente nell'ambiente. Gli utenti finali non devono ricordare le varie credenziali per le varie applicazioni.

Il sistema Single Sign-On è costituito da un database SSO, da un server master secret e da uno o più server Single Sign-On.

Il sistema SSO contiene le applicazioni affiliate definite da un amministratore. Un'applicazione affiliata è un'entità logica che rappresenta un sistema o sottosistema, come un host, un sistema back-end o un'applicazione line-of-business a cui ci si connette utilizzando il servizio Enterprise Single Sign-On. Ogni applicazione affiliata ha più mapping utente, ad esempio quelli tra le credenziali per un utente in Active Directory e le credenziali RACF corrispondenti.

Il database SSO è il database SQL Server in cui sono archiviate le informazioni sulle applicazioni affiliate, come pure tutte le credenziali utente crittografate per tutte le applicazioni affiliate.

Il server master secret è il server Enterprise Single Sign-On in cui è memorizzato il master secret. Tutti gli altri server Single Sign-On nel sistema ottengono il master secret dal server master secret.

Il sistema SSO contiene inoltre uno o più server SSO. Questi server eseguono il mapping tra le credenziali Windows e back-end, cercano le credenziali nel database SSO e vengono utilizzati dagli amministratori per gestire il sistema SSO.

Nota

Nel sistema SSO in uso, è possibile disporre di un solo server master secret e un solo database SSO. Il database SSO può essere remoto rispetto al server master secret.

Contenuto della sezione