SGD 5.2 中单点登陆(Single Sign-On)功能详解
2015年5月1日,Oracle发布了新版本的Oracle Secure Global Desktop 5.2。这是一个主要修复的版本,产品的体系结构和功能没有大的变化。其中,最为亮眼的新功能就是与Oracle Access Manager(OAM)的整合插件。通过使用该插件,SGD可以使用OAM的单点登录(Single Sign-On,SSO)功能,实现了对SGD服务器,以及从SGD上打开的远程Oracle应用程序的单点登录。
其实在SGD5.2发布之前,已经有很多用户把SGD与OAM或者OpenSSO进行了整合,实现了单点登录功能。只不过当时SGD没有提供任何插件或者接口,需要客户自己去修改SGD的内部配置文件,过程非常复杂。在5.2中,通过引入SSO插件,使得这个配置过程和整合更容易。
话说回来,无论是那种方式的整合,原理上都是一样的,都是通过在SGD服务器上配置一个代理(WebGate)来完成整合,系统构成如下图所示:
在SGD中,下面两个场景可以实现单点登录(SSO)。
场景1:登录到SGD服务器时验证到SGD服务器的登录
假设用户在登陆到SGD服务器之前,已经使用SSO登录过,这时,使用过程如下:
- 打开浏览器,登陆到某个使用SSO的应用程序
- 这时会被系统重定向到SSO的登陆页面
- 输入SSO的用户名和密码
- 登陆到此使用SSO的应用程序中
- 转到SGD服务器的登陆页面
- 这时无需再输入任何用户名和密码,直接登录到SGD工作区中
- 至此,完成到SGD服务器的登陆验证过程
场景2:验证到自SGD工作区打开的远程Oracle应用程序的登陆
具体的说,用户要进入SGD的工作区,在SGD工作区中打开一个远程浏览器,然后再从远程浏览器中打开一个Oracle应用程序。
假设用户在登陆到SGD服务器之前,没有使用SSO登陆过,这时,使用过程如下:
- 打开浏览器,输入SGD服务器的地址并访问
- 显示SGD服务器的登陆页面,此时输入SSO的用户名和密码
- 登录到SGD工作区中,显示工作区
- 从SGD工作区中启动一个远程浏览器
- 在远程浏览器中打开一个使用SSO的Oracle应用程序
- 直接登录到该Oracle应用程序,无需输入任何用户名和密码
特殊说明
在场景1中,如果在第7步之后,进行如下操作的话,可能还会需要输入用户名和密码:
- 从SGD工作区中启动一个远程浏览器
- 在远程浏览器中打开一个使用SSO的Oracle应用程序
- 这时可能会被重定向到SSO的登录页面
这种情况是不能实现SSO功能的。
(END)
