Die folgenden zwei Single-Sign-On-Methoden stehen zur Verfügung:

Kerberos Passthrough

Sofern ein Client Kerberos unterstützt, wird eine echte Kerberos-Authentifizierung verwendet.

Passthrough

Die bei der lokalen Anmeldung eingegebenen Zugangsdaten (Benutzername und Passwort) werden in einem Cache gespeichert und auf diese Weise bei der Authentifizierung bereitgestellt.

Eine erneute Eingabe der Zugangsdaten ist erforderlich, wenn in einer Sitzung auf Netzwerkressourcen zugegriffen werden soll.

Kerberos ist ein Authentifizierungsdienst. Der Dienst arbeiten mit den Entitätstypen "Benutzer", "Dienst" und "Computer", die als Principals bezeichnet werden. Principals gehören einem Realm an, dabei handelt es sich um eine Administrationseinheit. Im Realm hat jeder Principal einen eindeutigen Principal  Name. Der das Authentifizierungssystem bereitstellende Dienst heißt Key Distribution Center.

Beispiel: Microsoft Windows-Domänen bilden ein Realm. Der Domänenname, z. B. EXAMPLE.COM, ist der Realm Name. Ein Principal wäre z. B. user@EXAMPLE.COM. Die Domänencontroller haben die Rolle von Key Distribution Centers.

Wenn sich ein Benutzer einloggt, dann bezieht er ein Ticket Granting Ticket vom Key Distribution Center. Das Ticket verfällt nach einer gewissen Zeit (normalerweise nach 1 Tag). Wenn der Benutzer nun z. B. eine ICA-Sitzung startet, dann kann der Client mithilfe des Ticket Granting Ticket ein sogenanntes Service Ticket vom Key Distribution Center beziehen. Mit dem Service Ticket wird die Authentifizierung gegen den ICA-Server erreicht.

Um die Passthrough-Authentifizierung zu aktivieren, müssen Sie bestimmte Einstellungen vornehmen:

  1. Grundkonfiguration
  2. Sitzungskonfiguration