跨域单点登录概述

CDSSO 将单点登录扩展到单个域之外。基本单点登录在单个 DNS 域中使用 HTTP cookie。在基本单点登录中，OpenSSO Enterprise 服务器和所有受策略代理保护的资源位于同一个 DNS 域中。当用户成功向 OpenSSO Enterprise 服务器进行身份验证时，由 HTTP cookie 表示的 SSO 令牌将设置到用户的浏览器，并将 OpenSSO Enterprise DNS 域作为 cookie 域。从此时起直到会话终止或过期，浏览器始终将 SSO 令牌提供给同一 DNS 域中的任何服务器或策略代理基于HTTP协议。这允许 OpenSSO Enterprise 和策略代理重新检查用户会话和身份的有效性，然后执行安全策略而无需重新验证。但基本单点登录不能用于 OpenSSO Enterprise 及其策略代理位于不同 DNS 域的环境。

例如，OpenSSO Enterprise 和一些策略代理可能驻留在www.domain1.com中，而其他一些策略代理则驻留在www.domain2.com中。在对 OpenSSO Enterprise 进行身份验证期间，将 SSO 令牌设置为以domain1.com作为 cookie 域的浏览器。但是，当浏览器访问domain2.com中受策略代理保护的资源时，浏览器不会向策略代理提供 SSO 令牌。对于策略代理，没有 SSO 令牌意味着用户未通过身份验证。策略代理强制用户进行身份验证。相应 DNS 域中的 OpenSSO Enterprise 会看到浏览器确实具有有效的会话 SSO 令牌。OpenSSO Enterprise 将浏览器重定向回原始请求的资源www.domain2.com创建重定向循环。

要解决此问题，您可以在 OpenSSO Enterprise 服务器的策略代理中配置 CDSSO 功能。CDSSO 是一种将 SSO 令牌传递给策略代理的机制，用于保护存在于不同 DNS 域中的资源。CDSSO 使用户可以在主 DNS 域中针对 OpenSSO Enterprise 服务器进行一次身份验证，然后访问受其他 DNS 域中存在的策略代理保护的资源，而无需重新进行身份验证。CDSSO 是一种 OpenSSO Enterprise 专有机制，支持跨多个域的单点登录。或者，您可以使用基于标准的联合协议来实现跨多个域的单点登录。