ad域单点登录是什么意思_仅此一份，这三大SSO实现方式+域名分级，单点登录整理齐了

AD域单点登录（AD Domain Single Sign-On）是指在Active Directory（AD）环境中实现的一种身份验证机制，使用户只需进行一次登录，即可访问多个与AD域关联的应用程序和系统，无需重复输入用户名和密码。

在AD域单点登录中，用户首先登录到AD域控制器，获得一个安全令牌（ticket）。然后，在访问其他与AD域关联的应用程序时，这个安全令牌会被传递给应用程序，用于身份验证和授权。这样，用户只需要进行一次登录认证，就可以访问多个应用程序，提高了用户体验的同时也简化了用户管理和密码管理的工作量。

至于SSO的实现方式，常见的有以下三种：

1. 基于身份提供商的SSO：用户使用身份提供商（IdP）提供的凭据进行登录，然后通过SAML（Security Assertion Markup Language）或OpenID Connect等协议将身份信息传递给各个应用程序。常见的身份提供商包括Okta、Azure AD等。

2. 基于代理服务器的SSO：通过在网络中部署代理服务器，将用户的登录凭据转发给各个应用程序。代理服务器充当了一个中介，负责将用户登录信息传递给应用程序，并将应用程序的响应返回给用户。常见的代理服务器包括CAS（Central Authentication Service）、Shibboleth等。

3. 基于统一认证服务的SSO：在企业内部建立一个统一认证服务，用户只需进行一次登录认证，即可访问企业内部的各个应用系统。统一认证服务会负责管理和验证用户的身份信息，并将凭据传递给各个应用系统。常见的统一认证服务包括AD FS（Active Directory Federation Services）、Shiro等。

关于域名分级，可以根据组织的需要和安全策略，将不同的应用程序划分到不同的域名下。例如，可以将内部应用程序划分到内部域名下，而将外部可访问的应用程序划分到公共域名下。这样可以提高安全性和管理灵活性，同时也便于用户对应用程序进行访问和识别。