SSO是什么

微软已经推出了Office System，其中的SharePoint Portal Server 2003（以下简称SPS2003）可以用来快速地建立起一个门户网站，可以使企业内用户轻易地找到所需要的信息，协同工作，同时，也可以向Internet上的用户提供一个信息查询的门户网站。

如果用户的客户端和SPS2003服务器以及其他一些服务器（例如Exchange Server）在同一个域中，那么通过SPS2003的网站，访问其他的信息是一件轻而易举的事情，但在很多时候，可能会遇到下面的问题：

1 客户端并没有加入到域中，或者客户端通过虚拟专用网（***）接入公司网络。此时，在访问所有的服务器时，都需要输入用户信息。

2 用户会使用一些第三方的产品，无法将这些服务器加入到域中。此时，即使登录了SPS2003的网站，在访问其他服务器的时候，还是会出现需要用户信息的窗口。

正是基于以上的需求，在SPS2003中，有一项新的功能—Single Sign On(以下简称SSO)。SSO的基本思想就是：

建立一个加密的数据库，把用户的认证信息，存放到这个数据库中。当成功地验证了登录SPS2003网站的用户身份以后，就可以从加密的数据库中，获得用户的信息，从而用来访问其他的服务器或者一些第三方的服务器。

SSO指的是单点登录(Single Sign On)，当用户在身份认证服务器上登录了一次以后，即可获得访问单点登录系统中其他联邦系统和应用软件的权限。

同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。

单点登录是多个相关但独立的软件系统的访问控制的属性。使用此属性，用户使用单个ID和密码登录，以便在不使用不同用户名或密码的情况下访问已连接的系统，或者在某些配置中在每个系统上无缝登录。

单点登录通常使用轻量级目录访问协议（LDAP）和（目录）服务器上存储的LDAP数据库来完成，可以使用cookie在IP网络上实现简单版本的单点登录。

图为一种SSO系统：

实现机制

当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据－－ticket；

用户再访问别的应用的时候就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

SSO的优势

1、降低访问第三方站点的风险（未在外部存储或管理的用户密码）。

2、从不同的用户名和密码组合减少密码疲劳。

3、减少重新输入相同身份的密码所花费的时间。

4、由于关于密码的IT服务台呼叫数量减少，降低了IT成本。

5、SSO共享所有其他应用程序和系统用于身份验证的集中身份验证服务器，并将其与技术相结合，以确保用户不必多次主动输入其凭据。

参考资料来源：百度百科-SSO （Single Sign On）

参考资料来源：百度百科-单一登入

单点登录OA业务系统。

1、输入网址后反复跳转到SSO登录要单点登录OA业务系统，用户在SSOPortal登录系统之后，根据UserCode登录名获取Token。

2、在SSOProtal中点击单点登录关联业务系统的链接，通过Request参数传递Token到业务系统关联页面。

3、业务系统获取到Token之后，调用SSOPortal的Token验证接口机接口进行验证。

4、返回对象的Code为1，代表验证通过，加载关联页面。

5、返回对象的Code为0或者其他，即验证失败，直接跳转到SSOPortal的登录页面。

1、windows域登录与SSO服务器整合

11 分析：windows域登录过程采用Kerberose v5协议进行登录，过程非常复杂，并且登录中身份认证以及域的权

限整合在一起。要剥离身份认证和权限赋权非常困难。要整合现有的SSO服务器，可以考虑，采用windows域控制器

统一管理用户，SSO服务器采用该域控制器的Active Directory中的用户信息。windows工作站（比如winxp）登录

域过程中，保持原域登录的过程，在其中添加SSO服务器的登录过程。

12 实现：通过修改GINA模块，在windows工作站（比如winxp）登录域过程中，winlogon调用GINA组模块，把用户

提供的账号和密码传达给GINA，由GINA负责在域控制器中以及SSO服务器中账号和密码的有效性验证，然后把验证

结果反馈给Winlogon程序，只有域控制器和SSO服务器同时认证成功，才是登录成功。

另外开发一个DLL程序，暂时称为SSOLogin模块，GINA在登录成功后，将SSO的登录信息传递给SSOLogin模块，动力

工作站在启动时，首先调用SSOLogin模块，判断已经登录的用户，然后通过动力工作站访问其他应用时，就可以通

过SSO服务器进行单点登录。

13 技术点：

(1)通过jCIFS实现SSO服务器在Active Directory进行域登录。

(2)采用WFC开发框架对GINAdll进行修改，在注册表中进行注册

14 风险难点：(1)、windows域登录过程的分析与改造。(2)、windows的应用不开源，代码分析会比较困难。

15 其他：是否还考虑linux *** 作系统加入windows域的过程？

16 winxp登录域过程如下：

(1)用户首先按Ctrl+Alt+Del组合键。

(2)Winlogon检测到用户按下SAS键，就调用GINA，由GINA显示登录对话

框，以便用户输入账号和密码。

(3)用户选择所要登录的域和填写账号与密码，确定后，GINA将用户输入的

信息发送给LSA进行验证。

(4)在用户登录到本机的情况下，LSA将请求发送给Kerberos验证程序包。

通过散列算法，根据用户信息生成一个密钥，并将密钥存储在证书缓存区中。

(5)Kerberos验证程序向KDC(Key Distribution Center--密钥分配中心)发

送一个包含用户身份信息和验证预处理数据的验证服务请求，其中包含用户证

书和散列算法加密时间的标记。

(6)KDC接收到数据后，利用自己的密钥对请求中的时间标记进行解密，通

过解密的时间标记是否正确，就可以判断用户是否有效。

(7)如果用户有效，KDC将向用户发送一个TGT(Ticket-Granting Ticket--

票据授予票据)。该TGT(AS_REP)将用户的密钥进行解密，其中包含会话密钥、

该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数

据和设置等。用户所申请的票据在KDC的密钥中被加密，并附着在AS_REP中。

在TGT的授权数据部分包含用户账号的SID以及该用户所属的全局组和通用组的

SID。注意，返回到LSA的SID包含用户的访问令牌。票据的最大生命期是由域

策略决定的。如果票据在活动的会话中超过期限，用户就必须申请新的票据。

(8)当用户试图访问资源时，客户系统使用TGT从域控制器上的Kerberos

TGS请求服务票据(TGS_REQ)。然后TGS将服务票据(TGS_REP)发送给客户。该

服务票据是使用服务器的密钥进行加密的。同时，SID被Kerberos服务从TGT复

制到所有的Kerberos服务包含的子序列服务票据中。

(9)客户将票据直接提交到需要访问的网络服务上，通过服务票据就能证明

用户的标识和针对该服务的权限，以及服务对应用户的标识。

以上就是关于SSO是什么全部的内容，包括:SSO是什么、SSO是什么、输入网址后反复跳转到SSO登录等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！