配置单点登录 (single sign-on, SSO)

单点登录允许多个应用程序共享用户登录信息，而不要求每个应用程序都单独进行用户登录。使用单点登录的应用程序对用户进行一次验证，然后此验证信息将被传播到其他所有涉及的应用程序。

单点登录适用于为同一领域和虚拟服务器配置的 Web 应用程序。

单点登录使用 HTTP Cookie 来传输令牌，该令牌将每个请求与已保存的用户身份关联起来，因此仅当浏览器客户机支持 Cookie 时才能使用单点登录。

单点登录根据以下规则运行：

• 当用户访问 Web 应用程序中受保护的资源时，服务器会要求用户使用为该 Web 应用程序定义的方法对自身进行验证。

• 经过验证之后，Application Server 将使用与该用户关联的角色在虚拟服务器中的所有 Web 应用程序之间进行授权决策，而不要求用户单独向每个应用程序进行验证。

• 当用户注销一个 Web 应用程序时（显式或由于会话失效），该用户在所有 Web 应用程序中的会话都将变为无效。此后，用户需要先登录才能访问任一应用程序中的受保护资源。

1. 在管理控制台树组件中，展开“配置”节点。

2. 选择要配置的实例：

   • 要配置特定的实例，请展开该实例的配置节点。例如，对于默认实例 server，请展开 server-config 节点。

   • 要为所有实例配置默认设置，请展开 default-config 节点。

3. 展开“HTTP 服务”节点。

4. 展开“虚拟服务器”节点，然后选择要配置为支持单点登录的虚拟服务器。

5. 单击“添加属性”。

   一个空白的属性条目将被添加到列表末尾。

6. 在“名称”字段中输入 sso-enable。

7. 在“值”字段中输入 false 禁用 SSO，输入 true 启用 SSO。

   默认情况下，SSO 处于启用状态。

8. 单击“添加属性”并配置所有适用的 SSO 属性，来添加或更改任何其他单点登录属性。

   下表说明了虚拟服务器的有效 SSO 属性。

   属性名称	说明	值
   sso-max-inactive-seconds	如果未接收到任何客户机活动，在可以清除用户的单点登录记录之前所等待的时间（以秒为单位）。对虚拟服务器中的任何应用程序的访问都可以使单点登录记录保持活动状态。	默认值为 300 秒（5 分钟）。值越高，为用户提供的持续性就越长，但服务器上的内存消耗也会越多。
   sso-reap-interval-seconds	清除过期的单点登录记录的时间间隔（以秒为单位）。	默认值为 60。

9. 单击“保存”。

10. 如果控制台中显示“必须重新启动”，请重新启动 Application Server。