管理 > 安全性配置 > 参考 > LW-SSO 限制

LW-SSO 限制

本部分介绍了 LW-SSO 配置的限制。

  • 访问应用程序:
    • 客户端必须使用登录 URL 中的完全限定域名 (FQDN) 访问此应用程序,例如: http://flood.mercury.global:8080/WebApp
    • LW-SSO 不支持具有 IP 地址的 URL 或没有域的 URL。
  • 负载平衡器配置:

    使用 LW-SSO 部署的负载平衡器必须配置为使用粘性会话。

  • 多域支持:
    • 多域功能基于 HTTP 参照位置。因此,LW-SSO 支持从一个应用程序到另一个应用程序的链接,不支持在浏览器窗口中键入 URL,但这两个应用程序位于同一个域中的情况除外。
    • 在多域中从受保护 (HTTPS) 链接到非受保护 (HTTP) 的方案:

      从受保护 (HTTPS) 链接到非受保护 (HTTP) 页面时,多域功能不起作用。

    • Internet Explorer 中的第三方 cookie 行为:

      Microsoft Internet Explorer 6 包含一个支持“隐私首选项平台 (P3P) 项目”的模块,这意味着,默认情况下,来自第三方域的 cookie 会在“Internet”安全区域中被拦截。Internet Explorer 还将会话 cookie 作为第三方 cookie,因此,会被拦截,从而导致 LW-SSO 停止工作。有关详细信息,请参阅:http://support.microsoft.com/kb/323752/en-us

      要解决此问题,请在计算机上将启动的应用程序 (或类似于 *.mydomain.com 的 DNS 域子集) 添加到“Intranet”/“信任”区域 (在 Microsoft Internet Explorer 上,选择“工具”>“Internet 选项”>“安全”>“本地 Intranet”>“站点”>“高级”),这样即可接受 Cookie。

      LW-SSO 会话 cookie 仅仅是被拦截的第三方应用程序使用的其中一个 cookie。
  • 使用 Internet Explorer 7 时的多域注销功能:

使用 Internet Explorer 7 且注销过程中应用程序调用超过三个连续 HTTP 302 重定向动词时,多域注销功能可能会失败。

在这种情况下,Internet Explorer 7 可能会错误地处理 HTTP 302 重定向响应,并显示“Internet Explorer 无法显示网页”错误页面。

作为一种解决办法,如果可能,建议在注销序列中减少应用程序重定向命令的数量。