的作用是在多个应用系统中，终端用户只需要一次登录就可以访问所有相互信任的应用系统。SSO使用户可以快速访问网络，从而提高工作效率，提升用户使用体验。在SSL VPN的使用场景中，对于后台业务系统的单点登录需求较为广泛。SSO也是目前比较流行的企业业务整合的解决方案之一。

　　Cookie是一种客户端机制，它存储的内容包括Cookie名称、Cookie值、过期时间、作用路径和作用域，用Cookie方式实现SSO必须是相同的域名，不能跨域进行单点登录。

　　Session是一种服务器机制，当客户端访问服务器时，服务器为客户端创建一个唯一的SessionID，以便在整个交互过程中始终保持登录状态。通过Session机制实现的SSO不受域名限制，可以实现跨域名进行单点登录。

　　一般情况下，客户部署华耀的AG网关，终端用户的接入方式为三层接入，对于业务资源的访问，需要单点登录的功能。访问方式包括浏览器方式和MotionPro客户端方式。

　　对于浏览器访问，用户输入用户信息认证成功之后，能够在欢迎页面上看到其被授权访问的各种后台资源的链接，同时自动启动三层隧道。用户点击某链接访问系统资源(例如OA系统)，无需再次手动输入认证信息，而是直接展示该用户的登录完成后的OA系统界面。

　　对于MotionPro客户端访问，在输入用户信息认证成功之后，自动打开浏览器，展现资源页面。用户在页面上点击业务系统链接，无需再次输入用户信息，直接进入系统认证后的访问界面。

　　此场景中，客户拥有一个统一认证中心，该认证中心负责提供统一身份管理、统一身份认证、单点登录和统一安全审计等工作。

　　后台的业务系统如果对接了统一认证中心，那么当用户点击该资源链接时，无需再次输入用户名和密码，直接进入系统界面。

　　终端客户认证方式采用静态密码和动态密码的双因素认证；AG对接统一认证中心通过统一认证中心去验证用户信息。

　　两次登录分属两个不同的域：AG虚拟站点和后台业务系统。如何能做到把前一个域（AG虚拟站点）上认证过的会话(session)同步到新的域(后台业务系统)下面？

　　需要AG与统一认证中心协同工作。AG要做的工作是在用户访问后台应用时将登录AG站点的用户信息以表单形式提交到统一认证中心，同时提交一些固定字段（用于标识来自于AG的请求），以及回调URL地址（用于标识后台业务系统）。统一认证中心的工作是接收表单请求，对用户进行验证。如果验证通过，则将用户请求重定向到后台业务系统页面，即AG提交过来的参数中的回调URL地址。如果验证失败，则重定向到错误页面。

　　多因素认证情况下，不同的认证服务器需要不同的登录密码，用户需要输入多个密码来完成认证。在AG上配置了多个认证服务器的情况下，应该使用哪个认证服务器的登录密码来进行后台业务系统的单点呢？

　　AG支持指定一个认证服务器的登录密码来作为单点登录的密码。本方案中，需要指定需要静态密码登录的认证服务器，这样一来，用户输入的静态密码就会作为单点登录的密码用于后续的业务系统访问请求中。

　　此方案需要管理员针对不同的业务系统配置相应的SSO POST规则来实现，SSO POST规则中带有该业务系统的唯一标识。

　　本文描述的方案特点是统一认证中心或业务系统本身能够配合更改代码来实现对业务系统的单点登录。该方案灵活可配，配置简单，比较推荐大家使用。返回搜狐，查看更多