CDSSO 將單點登錄擴展到單個域之外。基本單點登錄在單個 DNS 域中使用 HTTP cookie。在基本單點登錄中，OpenSSO Enterprise 服務器和所有受策略代理保護的資源位于同一個 DNS 域中。當用戶成功向 OpenSSO Enterprise 服務器進行身份驗證時，由 HTTP cookie 表示的 SSO 令牌將設置到用戶的瀏覽器，并將 OpenSSO Enterprise DNS 域作為 cookie 域。從此時起直到會話終止或過期，瀏覽器始終將 SSO 令牌提供給同一 DNS 域中的任何服務器或策略代理基于HTTP協議。這允許 OpenSSO Enterprise 和策略代理重新檢查用戶會話和身份的有效性，然后執行安全策略而無需重新驗證。但基本單點登錄不能用于 OpenSSO Enterprise 及其策略代理位于不同 DNS 域的環境。

例如，OpenSSO Enterprise 和一些策略代理可能駐留在www.domain1.com中，而其他一些策略代理則駐留在www.domain2.com中。在對 OpenSSO Enterprise 進行身份驗證期間，將 SSO 令牌設置為以domain1.com作為 cookie 域的瀏覽器。但是，當瀏覽器訪問domain2.com中受策略代理保護的資源時，瀏覽器不會向策略代理提供 SSO 令牌。對于策略代理，沒有 SSO 令牌意味著用戶未通過身份驗證。策略代理強制用戶進行身份驗證。相應 DNS 域中的 OpenSSO Enterprise 會看到瀏覽器確實具有有效的會話 SSO 令牌。OpenSSO Enterprise 將瀏覽器重定向回原始請求的資源www.domain2.com創建重定向循環。

要解決此問題，您可以在 OpenSSO Enterprise 服務器的策略代理中配置 CDSSO 功能。CDSSO 是一種將 SSO 令牌傳遞給策略代理的機制，用于保護存在于不同 DNS 域中的資源。CDSSO 使用戶可以在主 DNS 域中針對 OpenSSO Enterprise 服務器進行一次身份驗證，然后訪問受其他 DNS 域中存在的策略代理保護的資源，而無需重新進行身份驗證。CDSSO 是一種 OpenSSO Enterprise 專有機制，支持跨多個域的單點登錄。或者，您可以使用基于標準的聯合協議來實現跨多個域的單點登錄。