单一身份

在 Java ES 环境中，每个最终用户都有单个集成的身份。基于此 single identity（单一身份），用户便可以访问各种资源，如 portal、Web 页以及诸如消息传送、日历和即时消息传送等服务。

这种集成化的身份认证和安全能力建立在 Directory Server、Access Manager 与其他 Java ES 组件之间密切协作的基础之上。

用户对 Java ES 服务或资源的访问是通过在用户系统信息库或 directory（目录）的单个用户条目中存储用户特定信息来实现的。此信息通常包括唯一的名称和密码以及电子邮件地址、组织中的角色、Web 页首选项等数据。用户条目中的信息可用于验证用户、授予其对特定资源的访问权或向该用户提供各种服务。

就 Java ES 而言，用户条目存储在 Directory Server 所提供的某个目录中。当用户想要请求 Java ES 组件所提供的服务时，该服务会使用 Access Manager 对该用户进行验证并授予其对特定资源的访问权。请求的服务会在用户的目录条目中检查用户特定的配置信息。服务使用该信息执行用户请求的工作。

下图显示如何访问用户条目以执行用户验证和授权以及提供服务给用户。

图 3–1 单个用户条目支持多项服务

源自本系统的其中一项功能是：基于 Web 的用户只要登录到任一 Java ES 服务，就能自动通过其他系统服务的验证。此功能称为 single sign-on（单点登录），它是 Java ES 所提供的一项强大功能。