Single Sign-On (SSO) в системе доменной аутентификации работает следующим образом: 1

1. Пользователь запрашивает доступ к ресурсу. 1 Тот проверяет, была ли выполнена аутентификация SSO. 1
2. Ресурс отправляет токен с информацией о пользователе (например, логин или email-адрес) системе управления доступами. 1
3. Система управления доступами проверяет, аутентифицировался ли пользователь до этого момента. 3 Если да, она предоставляет пользователю доступ к приложению провайдера услуг. 3
4. Если пользователь не авторизовался, ему необходимо это сделать, предоставив идентификационные данные, требуемые системой управления доступами. 3 Это может быть просто логин и пароль или же другие виды аутентификации, например одноразовый пароль (OTP — One-Time Password). 3
5. Как только система управления доступами одобрит идентификационные данные, она вернёт токен провайдеру услуг, подтверждая успешную аутентификацию. 3
6. Пользователь возвращается на исходный ресурс и получает защищённый доступ к нему. 1

SSO работает только в доменном окружении: нужно использоваться учётные записи пользователей Active Directory, все RDS сервера и рабочие станции должны быть добавлены в один домен AD. 5