随着信息技术和网络技术在组织机构中的广泛应用,很多机构单位已经拥有了各种各样的应用系统,如OA办公自动化系统、HR人力资源管理系统、财务系统、CRM客户关系管理系统、企业ERP系统、政府网上审批系统、学校一卡通系统、以及各种业务应用系统。但用户要想享受到这些应用系统带来的诸多好处,就需要登录到许多不同的应用系统中,而每个系统都要求用户遵循其独立的身份认证安全策略,比如要求输入用户ID和口令。用户所使用的应用

4、SSO Server把登录成功或失败页面导向浏览器，同时把票据ST 送给浏览器。

5、浏览器用SEVICE 和票据 (ST) 通过HTTPS请求门户。

6、门户用ST到SSO Server进行是否登录的验证。

7、SSO Server进行ST的验证，以及返回登录状态、登录ID，和服务器票据；门户激活授权模块进行授权，这个步骤直到LOGOUT才重复。

8、用户通过SSO PORTLET访问外部应用服务，首先要用服务器票据和外部SERVICE通过HTTPS访问SSO Server，进行验证。

9、SSO Server验证服务器票据并返回访问外部应用令牌PT。

10、SSO PORTLET访问外部应用服务带着PT。

11、外部应用服务的认证、日志过滤器使用PT通过HTTPS到SSO Server进行验证请求是否服务合法。

12、SSO Server把门户用户、应用的用户信息返回外部应用服务的认证、日志过滤器。门户的认证过程和外部应用的认证过程记录日志。

3、 单点登录的用户帐号信息管理

CenGRP SSO Server将用户UserID与动态令牌之间的对照关系长驻内存中。 CenGRP门户存储着用户UserID与所要单点登录的已有应用系统的LoginID之间的对照关系，其存储数据结构至少包括：

z 用户UserID

z 应用系统AppID

z 应用系统的AppUserID、口令AppPswd

单点登录时，CenGRP SSO Server根据用户的UserID，所请求资源的所属的应用系统AppID，来确定所要登录的应用系统的AppUserID，通过动态票据验证实现对应用系统的单点登录。

注：除非所要单点登录的应用系统的程序逻辑必须要求传入应用系统LoginID对应的密码，需要在SSO Server中对应用系统LoginID对应的密码进行加密存储；否则，在SSO Server中则不需要存储应用系统LoginID对应的密码，