Nozioni di base su Single Sign-On Enterprise
Per comprendere Enterprise Single Sign-On (SSO), è utile esaminare i tre tipi di servizi Single Sign-On disponibili oggi: Windows integrato, extranet e Intranet. Queste sono descritte nelle sezioni seguenti, con Enterprise Single Sign-On rientrano nella terza categoria.
Single Sign-On integrato in Windows
Questi servizi consentono di connettersi a più applicazioni all'interno della rete che utilizzano un meccanismo di autenticazione comune. Questi servizi richiedono e verificano le credenziali dopo l'accesso alla rete da parte dell'utente e le utilizzano per determinare le azioni possibili in base ai diritti utente. Ad esempio, se le applicazioni si integrano con Kerberos, dopo che il sistema autentica le credenziali utente, è possibile accedere a qualsiasi risorsa nella rete integrata con Kerberos.
Single Sign-On Extranet (Web SSO)
Questi servizi consentono di accedere alle risorse su Internet utilizzando un unico insieme di credenziali utente. L'utente fornisce un insieme di credenziali per accedere a diversi siti Web che appartengono a organizzazioni diverse. Un esempio di questo tipo di Sign-On single è l'ID Live di Windows per le applicazioni basate sul consumer. Per gli scenari federati, Active Directory Federation Services abilita l'accesso SSO Web.
Single Sign-On Intranet basato su server
Questi servizi consentono di integrare più applicazioni e sistemi eterogenei nell'ambiente aziendale. Queste applicazioni e sistemi potrebbero non usare l'autenticazione comune. Ogni applicazione dispone di un proprio archivio di directory utente. Ad esempio, in un'organizzazione, Windows utilizza il servizio Active Directory per l'autenticazione degli utenti, mentre i mainframe utilizzano RACF (Resource Access Control Facility) di IBM per l'autenticazione dei medesimi utenti. All'interno dell'organizzazione, le applicazioni middleware si integrano con le applicazioni front-end e back-end. Enterprise Single Sign-On consente agli utenti dell'organizzazione di connettersi alle applicazioni front-end e al back-end utilizzando un unico set di credenziali. Consente a Single Sign-On avviato da Windows (in cui la richiesta iniziale viene effettuata dall'ambiente di dominio di Windows) e a Single Sign-On avviato da host (in cui la richiesta iniziale viene effettuata da un ambiente di dominio diverso da Windows) di accedere a una risorsa nel dominio di Windows.
Inoltre, la sincronizzazione delle password consente di semplificare la gestione del database SSO e di mantenere le password sincronizzate nelle directory degli utenti. A tale scopo, è possibile usare adattatori di sincronizzazione delle password, che è possibile configurare e gestire usando gli strumenti di sincronizzazione delle password.
Sistema Enterprise Single Sign-On
Enterprise Single Sign-On fornisce servizi per archiviare e trasmettere le credenziali utente crittografate tra limiti locali e di rete, inclusi i limiti di dominio. SSO archivia le credenziali nel database delle credenziali. Poiché l'accesso Single Sign-On generico offre una soluzione di accesso Single Sign-On generico, le applicazioni middleware e gli adattatori personalizzati possono sfruttare l'accesso SSO per archiviare e trasmettere in modo sicuro le credenziali utente nell'ambiente. Gli utenti finali non devono ricordare le varie credenziali per le varie applicazioni.
Componenti del sistema SSO
Il sistema Single Sign-On è costituito da un database Credential, da un server master secret e da uno o più server single Sign-On.
Il sistema SSO contiene le applicazioni affiliate definite da un amministratore. Un'applicazione affiliata è un'entità logica che rappresenta un sistema o un sub-system, ad esempio un sistema host, un sistema back-end o un'applicazione line-of-business a cui si sta connettendo tramite Enterprise Single Sign-On. Ogni applicazione affiliata ha più mapping utente, ad esempio quelli tra le credenziali per un utente in Active Directory e le credenziali RACF corrispondenti.
Il database delle credenziali è il database SQL Server che archivia le informazioni sulle applicazioni affiliate, nonché tutte le credenziali utente crittografate per tutte le applicazioni affiliate.
Il server master secret è il server Enterprise Single Sign-On in cui è memorizzato il master secret. Tutti gli altri server di Sign-On singoli nel sistema ottengono il segreto master dal server segreto master.
Il sistema SSO contiene anche uno o più server SSO. Questi server esegue il mapping tra le credenziali di Windows e back-end e cerca le credenziali nel database delle credenziali. Gli amministratori le utilizzano per gestire il sistema SSO.
Nota
È possibile disporre di un solo server segreto master e di un solo database di credenziali nel sistema SSO. Il database delle credenziali può essere remoto al server segreto master.
Nota
Enterprise Single Sign-On ha funzionalità limitate in un ambiente del gruppo di lavoro, supportando solo gli scenari di archiviazione configurazione. Per scenari di sincronizzazione delle password e per scenari di sincronizzazione delle password è necessario un ambiente di dominio per scenari di Sign-On singolo.