CDSSO 將單點(diǎn)登錄擴(kuò)展到單個(gè)域之外?；締吸c(diǎn)登錄在單個(gè) DNS 域中使用 HTTP cookie。在基本單點(diǎn)登錄中，OpenSSO Enterprise 服務(wù)器和所有受策略代理保護(hù)的資源位于同一個(gè) DNS 域中。當(dāng)用戶成功向 OpenSSO Enterprise 服務(wù)器進(jìn)行身份驗(yàn)證時(shí)，由 HTTP cookie 表示的 SSO 令牌將設(shè)置到用戶的瀏覽器，并將 OpenSSO Enterprise DNS 域作為 cookie 域。從此時(shí)起直到會(huì)話終止或過(guò)期，瀏覽器始終將 SSO 令牌提供給同一 DNS 域中的任何服務(wù)器或策略代理基于HTTP協(xié)議。這允許 OpenSSO Enterprise 和策略代理重新檢查用戶會(huì)話和身份的有效性，然后執(zhí)行安全策略而無(wú)需重新驗(yàn)證。但基本單點(diǎn)登錄不能用于 OpenSSO Enterprise 及其策略代理位于不同 DNS 域的環(huán)境。

例如，OpenSSO Enterprise 和一些策略代理可能駐留在www.domain1.com中，而其他一些策略代理則駐留在www.domain2.com中。在對(duì) OpenSSO Enterprise 進(jìn)行身份驗(yàn)證期間，將 SSO 令牌設(shè)置為以domain1.com作為 cookie 域的瀏覽器。但是，當(dāng)瀏覽器訪問(wèn)domain2.com中受策略代理保護(hù)的資源時(shí)，瀏覽器不會(huì)向策略代理提供 SSO 令牌。對(duì)于策略代理，沒(méi)有 SSO 令牌意味著用戶未通過(guò)身份驗(yàn)證。策略代理強(qiáng)制用戶進(jìn)行身份驗(yàn)證。相應(yīng) DNS 域中的 OpenSSO Enterprise 會(huì)看到瀏覽器確實(shí)具有有效的會(huì)話 SSO 令牌。OpenSSO Enterprise 將瀏覽器重定向回原始請(qǐng)求的資源www.domain2.com創(chuàng)建重定向循環(huán)。

要解決此問(wèn)題，您可以在 OpenSSO Enterprise 服務(wù)器的策略代理中配置 CDSSO 功能。CDSSO 是一種將 SSO 令牌傳遞給策略代理的機(jī)制，用于保護(hù)存在于不同 DNS 域中的資源。CDSSO 使用戶可以在主 DNS 域中針對(duì) OpenSSO Enterprise 服務(wù)器進(jìn)行一次身份驗(yàn)證，然后訪問(wèn)受其他 DNS 域中存在的策略代理保護(hù)的資源，而無(wú)需重新進(jìn)行身份驗(yàn)證。CDSSO 是一種 OpenSSO Enterprise 專(zhuān)有機(jī)制，支持跨多個(gè)域的單點(diǎn)登錄?；蛘撸梢允褂没跇?biāo)準(zhǔn)的聯(lián)合協(xié)議來(lái)實(shí)現(xiàn)跨多個(gè)域的單點(diǎn)登錄。