Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um Enterprise Single Sign-On zu verstehen, ist es hilfreich, die drei heute verfügbaren Arten von Single Sign-On-Diensten anzuschauen: Windows integriert, Extranet und Intranet. Diese werden unten beschrieben, wobei Enterprise Single Sign-On in die dritte Kategorie fällt.
Windows Integrated Single Sign-On
Mit diesen Diensten können Sie eine Verbindung mit mehreren Anwendungen in Ihrem Netzwerk herstellen, die einen gemeinsamen Authentifizierungsmechanismus verwenden. Diese Dienste fordern Ihre Anmeldeinformationen an und überprüfen Ihre Anmeldeinformationen, nachdem Sie sich beim Netzwerk angemeldet haben, und verwenden Sie Ihre Anmeldeinformationen, um die Aktionen zu bestimmen, die Sie basierend auf Ihren Benutzerrechten ausführen können. Wenn Beispielsweise Anwendungen mithilfe von Kerberos integriert werden, können Sie nach der Authentifizierung Ihrer Benutzeranmeldeinformationen auf eine beliebige Ressource im Netzwerk zugreifen, die in Kerberos integriert ist.
Extranet Single Sign-On (Web SSO)
Mit diesen Diensten können Sie mithilfe einer einzigen Gruppe von Benutzeranmeldeinformationen auf Ressourcen über das Internet zugreifen. Der Benutzer stellt eine Reihe von Anmeldeinformationen bereit, um sich bei verschiedenen Websites anzumelden, die zu verschiedenen Organisationen gehören. Ein Beispiel für diesen Typ von Single Sign-On ist Windows Live ID für verbraucherbasierte Anwendungen. Für Verbundszenarien aktiviert Microsoft Active Directory-Verbunddienste Web-SSO.
Server-Based Intranet Single Sign-On
Mit diesen Diensten können Sie mehrere heterogene Anwendungen und Systeme in die Unternehmensumgebung integrieren. Diese Anwendungen und Systeme verwenden möglicherweise keine allgemeine Authentifizierung. Jede Anwendung verfügt über einen eigenen Benutzerverzeichnisspeicher. In einer Organisation verwendet Windows beispielsweise den Active Directory-Verzeichnisdienst, um Benutzer zu authentifizieren, und Großrechner verwenden die Resource Access Control Facility (RACF) von IBM, um dieselben Benutzer zu authentifizieren. Innerhalb des Unternehmens integrieren Middleware-Anwendungen die Front-End- und Back-End-Anwendungen. Enterprise Single Sign-On ermöglicht Benutzern im Unternehmen, sowohl eine Verbindung mit dem Front-End als auch mit dem Back-End herzustellen, während nur eine Gruppe von Anmeldeinformationen verwendet wird. Sie ermöglicht sowohl Windows-initiierte Einzelanmeldung (Sign-On), bei der die ursprüngliche Anforderung aus der Windows-Domänenumgebung erfolgt, als auch Host-initiierte Einzelanmeldung (Sign-On), bei der die ursprüngliche Anforderung aus einer Nicht-Windows-Domänenumgebung erfolgt, um auf eine Ressource in der Windows-Domäne zuzugreifen.
Darüber hinaus vereinfacht die Kennwortsynchronisierung die Verwaltung der SSO-Datenbank und sorgt für die Synchronisierung von Kennwörtern in Benutzerverzeichnissen. Dies erfolgt über die Verwendung von Kennwortsynchronisierungsadaptern, die Sie mithilfe der Kennwortsynchronisierungstools konfigurieren und verwalten können.
Das Enterprise-Einzel Sign-On-System
Enterprise Single Sign-On (SSO) bietet Dienste zum Speichern und Übertragen verschlüsselter Benutzeranmeldeinformationen über lokale und Netzwerkgrenzen hinweg, einschließlich Domänengrenzen. SSO speichert die Anmeldeinformationen in der SSO-Datenbank. Da SSO eine generische Single Sign-On-Lösung bereitstellt, können Middleware-Anwendungen und benutzerdefinierte Adapter SSO nutzen, um Benutzeranmeldeinformationen in der gesamten Umgebung sicher zu speichern und zu übertragen. Endbenutzer müssen sich nicht an unterschiedliche Anmeldeinformationen für verschiedene Anwendungen erinnern.
Das Single Sign-On-System besteht aus einer SSO-Datenbank, einem Mastergeheimserver und einem oder mehreren Single Sign-On-Servern.
Das SSO-System enthält Partneranwendungen, die ein Administrator definiert. Eine Affiliate-Anwendung ist eine logische Entität, die ein System oder Untersystem darstellt, z. B. ein Host-, Back-End-System oder eine Branchenanwendung, mit der Sie eine Verbindung mit Enterprise-Single-Sign-On herstellen. Jede Partneranwendung verfügt über mehrere Benutzerzuordnungen; Sie weist beispielsweise die Zuordnungen zwischen den Anmeldeinformationen für einen Benutzer in Active Directory und den entsprechenden RACF-Anmeldeinformationen auf.
Die SSO-Datenbank ist die SQL Server-Datenbank, in der die Informationen zu den Partneranwendungen sowie alle verschlüsselten Benutzeranmeldeinformationen für alle Partneranwendungen gespeichert werden.
Der Masterschlüssel-Server ist der Enterprise Single Sign-On-Server, der den Masterschlüssel speichert. Alle anderen einzelnen Sign-On-Server im System erhalten das Master-Geheimnis vom Master-Geheimserver.
Das SSO-System enthält auch einen oder mehrere SSO-Server. Diese Server führen die Zuordnung zwischen den Windows- und Back-End-Anmeldeinformationen aus, suchen die Anmeldeinformationen in der SSO-Datenbank nach, und Administratoren verwenden sie, um das SSO-System zu verwalten.
Hinweis
Sie können nur einen Geheimschlüsselserver und nur eine SSO-Datenbank in Ihrem SSO-System verwenden. Die SSO-Datenbank kann remote auf den geheimen Masterserver übertragen werden.