3.2. 基于桌面的 SSO

基于桌面的 SSO 方案允许在桌面之间共享一个主体，通常由 Active Directory 或 Kerberos 服务器以及一组 Web 应用（即 SP）来共享。在本例中，桌面 IDP 充当 Web 应用程序的 IDP。

在典型的设置中，用户登录受 Active Directory 域管理的桌面。用户通过配置了 JBoss Negotiation 并在 JBoss EAP 上托管的 Web 浏览器访问 Web 应用。Web 浏览器将登录信息从用户的本地计算机传输到 Web 应用。JBoss EAP 将后台 GSS 消息与 Active Directory 或任何 Kerberos 服务器用于验证用户。这使得用户可以在 Web 应用中实现无缝 SSO。

要将基于桌面的 SSO 设置为 Web 应用的 IDP，需要创建一个连接 IDP 服务器的安全域。NegotiationAuthenticator 作为 valve 添加到所需 Web 应用程序，JBoss Negotiation 则添加到 SP 容器的类路径中。或者，也可以像基于浏览器的 SSO 方案设置 IDP，但将基于桌面的 SSO 提供程序用作身份存储。