Как работает Single Sign-On в системе доменной аутентификации?

Single Sign-On (SSO) в системе доменной аутентификации работает следующим образом: ekassir.com

1. Пользователь запрашивает доступ к ресурсу. ekassir.com Тот проверяет, была ли выполнена аутентификация SSO. ekassir.com
2. Ресурс отправляет токен с информацией о пользователе (например, логин или email-адрес) системе управления доступами. ekassir.com
3. Система управления доступами проверяет, аутентифицировался ли пользователь до этого момента. habr.com Если да, она предоставляет пользователю доступ к приложению провайдера услуг. habr.com
4. Если пользователь не авторизовался, ему необходимо это сделать, предоставив идентификационные данные, требуемые системой управления доступами. habr.com Это может быть просто логин и пароль или же другие виды аутентификации, например одноразовый пароль (OTP — One-Time Password). habr.com
5. Как только система управления доступами одобрит идентификационные данные, она вернёт токен провайдеру услуг, подтверждая успешную аутентификацию. habr.com
6. Пользователь возвращается на исходный ресурс и получает защищённый доступ к нему. ekassir.com

SSO работает только в доменном окружении: нужно использоваться учётные записи пользователей Active Directory, все RDS сервера и рабочие станции должны быть добавлены в один домен AD. winitpro.ru