SecureWORK SecureSSO 3.0

個人端自動代理多種系統登入，快速整合企業單一登入

傳統的單一登入（Single Sign-On）整合解決方案建置時大多需要在一部伺服器內集中彙總許多使用者登入的資訊，SecureSSO則反其道而行，以個人端電腦為系統登入整合的起點，稱為End User Single Sign-On，不必重新調整網路架構與每個應用程式的介面，及強制同步不同系統間的使用者登入資訊，達到單一登入的效果。SecureSSO能應用在一般Windows應用程式、網頁和終端模擬程式（Mainframe、Unix、AS/400），將機密資料加密儲存在LDAP相容的目錄服務內，並且提供彈性，允許在使用者的電腦上存放加密過的快取資料，當使用者在離開辦公室出差、巡迴時，能以離線的狀態繼續登入本機；而且在加密的狀況下，網路管理者無法直接檢視使用者的密碼。對現有IT環境影響小

SecureSSO類似自動填寫網頁表單與管理密碼的工具，但支援的應用程式範圍更廣，不限於網頁。除密碼外，SecureSSO支援進階的使用者認證方式，例如USB Token、智慧卡、生物辨識裝置等。

不必動用後端系統的身分驗證資料，大規模彙整與同步現有的目錄服務系統，SecureSSO利用代理程式監控使用者桌面以及與伺服器之間的互動，能減少異質系統間單一登入整合的複雜度。以微軟的MSN Messenger為例，企業很難向微軟或其他外部資訊服務商要求帳號資料同步，SecureSSO以一般使用者桌面為基礎，並且延伸現有的目錄服務，可突破登入資料集中控管方式的限制。

當SecureSSO的代理程式常駐在個人端電腦時，假如有任何需要輸入登入帳號與密碼的畫面，代理程式會即時偵測到，並且詢問使用者將此登入程序加入到SecureSSO中，系統將會自動產生對應的設定檔（Profile）。使用者也可以自行在使用者設定檔管理員中，手動建立應用程式或網頁的設定檔。

以微軟Active Directory的網路環境為例，SecureSSO可安裝在Windows工作站和伺服器端，管理者需具備Administrator和Schema Admins的權限，才能延伸目錄服務的資料庫結構描述，並分配適當的權限給結構敘述延伸物件。之後，Active Directory使用者與電腦管理員的容器物件和使用者物件延伸功能表，隨即會加入SecureSSO和使用者管理工具。

在個人端，當使用者利用SecureSSO代理帳號登入作業，系統將會收集應用程式的登入資訊，依系統的選項，置放到特定的資料儲存位置，例如本機磁碟加密快取檔，或是目錄服務內使用者物件的加密屬性。提供精靈與滑鼠拖放快速設定

SecureSSO代理程式會隨時監視Windows應用程式的使用者登入視窗或對話方塊，當SecureSSO辨識到一個登入視窗，代理程式會執行指令碼，自動輸入使用者帳號名稱、密碼和其他相關的認證資訊，不同的應用程式，透過對應的指令碼敘述（Script），可達到自動登入的效果。指令碼儲存在目錄服務內，確保登入資訊的安全性。

當代理程式偵測到應用程式的密碼欄位對話方塊，系統會呼叫桌面應用程式設定精靈，設定相當容易，使用者只要將精靈上的滑鼠圖示拖放到對應的視窗欄位，包括使用者帳戶名稱、密碼、「確定」按鈕（OK、Yes），以及額外的輸入欄位（例如：網域名稱），日後開啟相同應用程式時，就不再需要重複輸入密碼。桌面應用程式設定精靈同時提供手動設定應用程式登入的方式，不過需要自行加入視窗欄位，並且定義欄位相應的變數資料形態。專屬設定檔、指令碼相互搭配

SecureSSO採取主從式架構，在每一個使用者端電腦上，執行專屬的代理程式，協助使用者自動記憶密碼和登入驗證，密碼皆以256位元的AES方式加密儲存在動態目錄中。SecureSSO也能主動提示密碼過期和產生密碼建議值。

系統提供設定精靈、指令碼和預先定義的應用程式設定樣板，協助個人端完成單一登入設定。以及企業預先部署SecureSSO在使用者端電腦也提供管理工具，方便檢視細部資訊，如果系統管理者授予更多權限，一般使用者還能夠新增其他應用程式和網站，延伸單一登入整合的範圍。

設定檔的設計結構是SecureSSO的技術核心，我們可以用純文字編輯器直接開啟SSO檔，裡面的內容與格式全部是XML敘述。文⊙李宗翰