CDSSO 將單點登錄擴(kuò)展到單個域之外。基本單點登錄在單個 DNS 域中使用 HTTP cookie。在基本單點登錄中，OpenSSO Enterprise 服務(wù)器和所有受策略代理保護(hù)的資源位于同一個 DNS 域中。當(dāng)用戶成功向 OpenSSO Enterprise 服務(wù)器進(jìn)行身份驗證時，由 HTTP cookie 表示的 SSO 令牌將設(shè)置到用戶的瀏覽器，并將 OpenSSO Enterprise DNS 域作為 cookie 域。從此時起直到會話終止或過期，瀏覽器始終將 SSO 令牌提供給同一 DNS 域中的任何服務(wù)器或策略代理基于HTTP協(xié)議。這允許 OpenSSO Enterprise 和策略代理重新檢查用戶會話和身份的有效性，然后執(zhí)行安全策略而無需重新驗證。但基本單點登錄不能用于 OpenSSO Enterprise 及其策略代理位于不同 DNS 域的環(huán)境。

例如，OpenSSO Enterprise 和一些策略代理可能駐留在www.domain1.com中，而其他一些策略代理則駐留在www.domain2.com中。在對 OpenSSO Enterprise 進(jìn)行身份驗證期間，將 SSO 令牌設(shè)置為以domain1.com作為 cookie 域的瀏覽器。但是，當(dāng)瀏覽器訪問domain2.com中受策略代理保護(hù)的資源時，瀏覽器不會向策略代理提供 SSO 令牌。對于策略代理，沒有 SSO 令牌意味著用戶未通過身份驗證。策略代理強(qiáng)制用戶進(jìn)行身份驗證。相應(yīng) DNS 域中的 OpenSSO Enterprise 會看到瀏覽器確實具有有效的會話 SSO 令牌。OpenSSO Enterprise 將瀏覽器重定向回原始請求的資源www.domain2.com創(chuàng)建重定向循環(huán)。

要解決此問題，您可以在 OpenSSO Enterprise 服務(wù)器的策略代理中配置 CDSSO 功能。CDSSO 是一種將 SSO 令牌傳遞給策略代理的機(jī)制，用于保護(hù)存在于不同 DNS 域中的資源。CDSSO 使用戶可以在主 DNS 域中針對 OpenSSO Enterprise 服務(wù)器進(jìn)行一次身份驗證，然后訪問受其他 DNS 域中存在的策略代理保護(hù)的資源，而無需重新進(jìn)行身份驗證。CDSSO 是一種 OpenSSO Enterprise 專有機(jī)制，支持跨多個域的單點登錄。或者，您可以使用基于標(biāo)準(zhǔn)的聯(lián)合協(xié)議來實現(xiàn)跨多個域的單點登錄。