单点登录的定义及其工作原理

单点登录（SSO）是一种认证方法，它要求用户只登录一次，使用一个用户ID和密码，登录多个应用、系统或Web网站。在使用单点登录之前，用户必须输入用户ID和密码，通常每个都不相同，每次他们登录到同一个会话的不同的应用或者系统的时候也不相同。很显然这样很费时间，特别是在业务环境中，时间就是金钱，而时间的浪费是因为员工必须在每次从桌面访问新系统的时候都要登录。
　　SSO通常通过单独的软件认证模式实施，而这些软件模式是作为需要登录的所有应用的网关的。这种模式可以认证用户，然后进行繁重的工作――管理对其他应用的访问。它的作用是作为所有需要登录的信任状得主数据存储。
　　SSO模式的一个例子是微软的Passport，它可以允许用户注册一次，然后作为多个网站的网关，通常他们每个都要求登录。还有一些商业的SSO，例如Computer Associates的eTrust，而Linux上的Java和PAM中还有其他的模式。
　　虽然Sso很方便，但是有人认为它本身就存在安全问题。如果SSO被攻击，攻击者就可以无限制地访问需要SSO认证中的所有应用。
　　SSO通常是需要在实施前慎重规划的大项目。

其工作原理是：
The Open Group对单点登录的定义是：“单点登录（SSO）是用户认证和授权的单一行为可以允许一位用户访问他的访问许可中包含的所有电脑和系统，而不要输入多个密码的机制。单点登录减少了人为错误，这是系统失败的重要因素，需求量很大，但是很难实施。”
　　单点登录系统的工作各不相同。例如，在Windows NT（或者2000）网络中，英勇可以使用综合的Windows NT认证机制。如果是为特别的用户或者用户组设置的，已经被域名鉴定允许访问的任何人当然可以访问，他们不需要重新登录。
　　Novell采用了不同的方法。 所有应用仍然有自己的用户名和密码，但是都存储在所谓的SecretStore中。据他们的网站称，“一旦杯NDS鉴定，SecretStore就可以在你第一次使用的时候，自动收集兵加密你的应用密码。当你下次使用应用的时候，应用的客户端将验证你已经被NDS认证过了。如果NDS回应你通过认证了，客户端就会从SecretStore请求你的应用密码。NDS可以从SecretStore中找回密码，并用于让你访问你的目标应用。整个过程只需几秒的时间，并且是完全透明的：一旦被NDS认证，单点登录管理剩余的登录过程。”
　　采用单点登录还有其他方法。
　　在任何情况下，它的意思也就是你需要定义谁可以访问每个应用，到那些层面。但是，如果你定义了标准用户组或者任务，应用和应用之间使用相同的定义应该相当简单。
　　采用单点登录是一种安全而不繁琐的方法，在采用前需要经过慎重的考虑。