Единый вход

Функция единого входа позволяет пользователям проходить однократную проверку подлинности на сервере Шлюз Microsoft Forefront Threat Management и затем без повторной проверки получать доступ к любым веб-узлам с одинаковым суффиксом домена, который Forefront TMG публикует посредством определенного веб-прослушивателя. К числу веб-узлов относятся веб-узлы SharePoint и веб-клиента Microsoft Outlook, а также обычные веб-узлы IIS.

Типичный пример использования функции единого входа - заполнение пользователем формы для ввода учетных данных с целью подключения к веб-клиенту Outlook. В одном из полученных пользователем сообщений электронной почты есть ссылка на документ, хранящийся на сервере SharePoint. Пользователь нажимает ссылку, и документ открывается без дополнительного запроса проверки подлинности. Этот пример основан на использовании постоянных файлов cookie.

Примечания по безопасности

Пользователь остается подключенным до тех пор, пока не будет завершен процесс веб-обозревателя. Например, пользователь выполнил вход в веб-клиент Outlook. Затем пользователь открывает новое окно Internet Explorer с помощью команды меню и переходит к другому веб-узлу. При закрытии окна веб-клиента Outlook сеанс не завершается, и пользователь остается подключенным.
При включении функции единого входа необходимо предоставить строгий домен единого входа. При указании включающего домена, например .co.uk, веб-обозреватель сможет отправлять файл cookie единого входа Forefront TMG любому веб-узлу в домене, создавая возможную угрозу безопасности.
В сценарии, когда создается веб-прослушиватель, настроенный на проверку подлинности на основе форм с подтверждением RSA SecurID, и выбран параметр Собрать учетные данные пользователей для делегирования в форме, Forefront TMG не проверяет, вводит ли пользователь то же или другое имя в дополнительных учетных данных.

Примечание.
Единый вход для нескольких веб-прослушивателей не поддерживается. Функция единого входа поддерживается для опубликованных веб-узлов, в именах которых после первой точки указан одинаковый DNS-суффикс. Например, можно настроить единый вход при публикации веб-узлов mail.fabrikam.com и team.fabrikam.com, указав в качестве домена единого входа .fabrikam.com. Однако для веб-узлов mail.fabrikam.com и mail.contoso.com единый вход настроить невозможно. Кроме этого, DNS-суффикс, указываемый в качестве домена единого входа, должен содержать как минимум два сегмента, разделенных точкой. Например, .fabrikam.com и .portal.fabrikam.com являются допустимыми доменами единого входа, а .com - нет.

Примечание.

Единый вход для нескольких веб-прослушивателей не поддерживается. Функция единого входа поддерживается для опубликованных веб-узлов, в именах которых после первой точки указан одинаковый DNS-суффикс. Например, можно настроить единый вход при публикации веб-узлов mail.fabrikam.com и team.fabrikam.com, указав в качестве домена единого входа .fabrikam.com. Однако для веб-узлов mail.fabrikam.com и mail.contoso.com единый вход настроить невозможно. Кроме этого, DNS-суффикс, указываемый в качестве домена единого входа, должен содержать как минимум два сегмента, разделенных точкой. Например, .fabrikam.com и .portal.fabrikam.com являются допустимыми доменами единого входа, а .com - нет.