sso

安全性
--------------------------------------------------------------------------------
Web 用户基于多服务器会话的名称和口令验证（一次登录）
基于多服务器会话的验证，也称 SSO（一次登录），允许 Web 用户只需登录到 Domino 或 WebSphere 服务器一次，然后不必再次登录即可访问同一 DNS 网络域中启用了一次登录的其他 Domino 或 WebSphere 服务器。
用户 Web 浏览器必须启用 cookie，因为服务器生成的验证令牌将置于 cookie 中发送给浏览器。

可以通过执行下列操作之一设置一次登录：

在 Domino 目录中创建网络域范围内的配置文档，即“Web SSO 配置”文档。（在 Domino 网络域或目录中可以有多个“Web SSO 配置”文档。）
在“Web 站点”或“服务器”文档中对基于会话的验证启用“多服务器”选项。

您可以启用跨越多个 Domino 网络域的一次登录。请参阅为多个 Domino 网络域设置“Web SSO 配置”文档主题。
启用一次登录的选择列表

SSO 功能使用户能够更容易地在混合环境中注册以及使用多个服务器。应使用下列列表配置 Domino 环境，以确保 SSO 配置成功。

一般事项

发布给配置了一次登录的服务器的 URL 必须指定 DNS 服务器的全名，而不是主机名或 IP 地址。要使浏览器能够向服务器群组发送 cookie，DNS 网络域必须包括在 cookie 中，且 cookie 中的 DNS 网络域必须与服务器 URL 匹配。这就是 cookie 不能跨越 TCP/IP 网络域使用的原因。
“Web 站点”或“服务器”文档的主机名域中的群集服务器必须拥有 DNS 服务器全名。这使得 ICM（Internet 群集管理器）能够重定向到使用 SSO 的群集成员。如果此外没有 DNS 服务器主机名，缺省情况下，ICM 只会将 URL 重定向到具有 TCP/IP 主机名的群集 Web 服务器。而且，由于 URL 中不包括 DNS 网络域，因此 ICM 将无法发送 cookie。

 

为多个 Domino 网络域设置“Web SSO 配置”文档
此过程通过设置当前网络域和其他网络域使用相同的密钥信息，从而使您可以对其他网络域内的服务器启用在当前网络域内的服务器上使用 SSO 的权限。要实现这一点必须满足两个条件：
您必须是已注册的 Notes 用户，而且您的服务器也必须为已注册的服务器。满足此条件，您和您的服务器具有在当前网络域内解密“Web SSO 配置”文档的权限，以及在新网络域的 Domino 目录内创建文档的权限。
服务器文档以及管理员的“个人”文档必须存在于将创建 Web SSO 配置的网络域内，因为用于加密和解密的公用密钥存储在每个已注册的个人和服务器文档中。

为多个 Domino 网络域设置“Web SSO 配置”文档
1. 从创建“Web SSO 配置”文档的 Domino 目录中拷贝该文档，并将其粘贴到新网络域的 Domino 目录中。

2. 打开新网络域的“Web SSO 配置”文档，并编辑“参与 Domino 服务器”域，使其只包括在将启用一次登录的新网络域内拥有服务器文档的那些服务器。

3. 客户机必须能够找到参与一次登录的服务器的服务器文档。应确保客户机场所文档中指定的主服务器所指向的服务器与参与一次登录的服务器在同一个网络域中，以便查找功能能找到服务器的公用密钥。如果主服务器找不到参与服务器，则 SSO 文档将无法加密且 SSO 将失败。

4. 保存该文档。该文档针对新网络域内的参与服务器进行加密，且应使新网络域内的这些服务器能够参与当前网络域内的服务器的一次登录。