单点登录 (SSO)

单点登录旨在限制用户利用同一用户名使用不同 PC。单点登录对于用户而言是透明的;没有关联的特定消息。当注册新场或编辑已选定“Windows 身份验证”的现有场时,若失败将会显示下列消息:Windows 身份验证失败。您必须输入用户名和密码。

SSO 与当前/现有 Symphony 身份验证流程协同工作。Windows 身份验证比 Symphony 身份验证更安全;它能够利用内置的 Windows 安全系统。客户端与服务器之间的通信通过 WSE 3.0 SOAP Web 服务进行。

重要信息:如果用户需要其注册的场在域中的任何计算机上可用,则必须启用漫游用户配置文件 (Windows)。

Symphony 支持跨域 SSO 身份验证。
SSO 旨在限制用户利用同一用户名使用不同 PC;但是,用户可在非故意情况下在同一台 PC 上多次登录。

操作流程

1.      当 Symphony 客户端与场连接时,会基于当前登录的 Windows 用户身份创建安全令牌;用户必须登录域帐户。

2.      安全令牌将发送到场/服务器进行验证。

3.      场/服务器验证令牌是否有效,并确定与其相关联的域帐户。

4.      验证成功后,场/服务器将会话 ID 返回客户端。

5.      如果验证失败,客户端的场状态将更改为“未授权”。

6.      若失败,用户可以使用 Symphony 凭据登录:

a.      在 Symphony 客户端中,右键单击“服务器列表”中的场。

b.      选择“编辑”。将打开“服务器登录信息”对话框。

c.  禁用单点登录:清除“Windows 身份验证”复选框。

d.      单击“确定”。

e.      输入用户名和密码。

 

重要信息:需要多个支持 Windows 单点登录的 Symphony 客户端(使用不同的用户名注册每个客户端)才能运行“实时禁用”。因此,在运行“实时禁用”的同时,“单点登录”不可用于“视频墙”。

系统必备项

单点登录功能使用客户端的域标识验证服务器;因此,客户端和服务器必须在相同的安全域内。所以,仅能在以下情况下使用单点登录:

       在同一个域中登录客户端和服务器计算机,并且

       用户使用域凭据作为“域用户”登录客户端计算机。(用户可以在本地登录计算机,这时单点登录功能不可用。)

在由 Windows Server 2008(或更高版本)控制的域和运行 Vista/Windows 7 的客户端中:

       必须禁用 AES256_HMAC_SHA1 加密,因为它不能由单点登录使用的 WSE 3.0 进行处理。该策略必须由域控制器实施,并且必须由负责域的 IT 人员进行设置。

启用单点登录 (SSO)

       在 Symphony 客户端中(或手动)启用单点登录

       页上的“任务 2: 在 Symphony 客户端中,将场注册的存储路径更改为网络服务器”

任务 1: 在 Symphony 客户端中(或手动)启用单点登录

在 Symphony 客户端中启用或禁用单点登录:

1.      在 Symphony 客户端中,右键单击“服务器列表”中的场。

2.      选择“编辑”。将打开“服务器登录信息”对话框。

        要启用单点登录,选中“Windows 身份验证”复选框。

        要禁用单点登录,清除“Windows 身份验证”复选框。

3.      单击“确定”。

Windows 身份验证复选框

手动启用单点登录:

1.      编辑 %APPDATA%\Aimetis\RegisteredFarms.xml

示例:

<RegisteredFarms>

     <Farm ID="74083">

         <Encryption>6.2</Encryption>

          <Alias>10.234.10.76</Alias>

         <SpecifiedAddress>10.234.10.76</SpecifiedAddress>

         <UserName>MVYlTEIRRUhQ</UserName>

          <Password>kjdflasdkjflakj</Password>
      <UseWindowsAuthentication>false </UseWindowsAuthentication>

          <Addresses>

               <Address>

                 <SpecifiedAddress>10.222.10.73</SpecifiedAddress>

                 <IP>10.222.10.73</IP>

                 <Port>50001</Port>

               </Address>

          </Addresses>

     </Farm>

</RegisteredFarms>

2.      <Farm ID = “number”> 下,

        启用单点登录设置
<UseWindowsAuthentication>true </UseWindowsAuthentication>

        禁用单点登录设置
<UseWindowsAuthentication>false </UseWindowsAuthentication

任务 2: 在 Symphony 客户端中,将场注册的存储路径更改为网络服务器

确保场注册信息存储在网络服务器中:

1.      从“视图”菜单中,选择“设置”。将打开“Symphony 客户端设置”对话框。

2.      单击“全局”选项卡。

3.      选中“场注册的自定义路径”复选框。

4.      在下一个字段中,输入在网络中所有漫游用户的注册信息的存储路径。

        存储所有场注册信息的网络服务器必须能够从所有客户端进行访问。

        这是全局设置。所有登录此客户端的用户都将使用该设置。配置该路径时使用 %WINUSER% 变量,以便每个用户存储场注册信息的路径都是唯一的。用户必须拥有该文件夹的 Windows“修改”权限。这在每台客户端计算机上仅设置一次。

重要信息:使多个用户共享场注册信息存在安全风险。