Технология единого входа (англ. Single Sign-On) — технология, при использовании которой пользователь переходит из одного раздела портала в другой, либо из одной системы в другую, не связанную с первой системой, без повторной аутентификации.
Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.
После успешной первичной аутентификации центр распределения ключей (Key Distribution Center, KDC) выдает первичное удостоверение пользователя для доступа к сетевым ресурсам — Ticket Granting Ticket (TGT). В дальнейшем, при обращении к отдельным ресурсам сети, пользователь, предъявляя TGT, получает от KDC удостоверение для доступа к конкретному сетевому ресурсу — Service Ticket (TGS). В качестве примера реализации протокола Kerberos можно отметить доменную аутентификацию пользователей в операционных системах Microsoft, начиная с Windows 2000[1].
При первоначальном входе требуется подключить смарт-карту и токен. Технология единого входа, основанная на смарт-картах и токенах, использует либо сертификаты, либо пароли, записанные на этих ключах.
Под встроенной аутентификацией Windows понимается продукт Microsoft, использующий протоколы SPNEGO, Kerberos, и NTLMSSP. Чаще всего этим термином обозначают аутентификацию, происходящую при взаимодействии Microsoft Internet Information Services и Internet Explorer.
SAML (security assertion markup language — язык разметки утверждений безопасности) — язык разметки, основанный на языке XML. Открытый стандарт обмена данными аутентификации и авторизации между участниками, главным образом между поставщиком идентификации (англ. identity provider) и поставщиком услуг (англ. service provider). Пользователь запрашивает доступ к ресурсу, защищенному поставщиком услуг. Поставщик услуг, чтобы провести идентификацию пользователя, направляет запрос на проведение аутентификации в адрес поставщика идентификации. Поставщик идентификации проверяет наличие у пользователя активной сессии, если она отсутствует, то проводит аутентификацию пользователя, и формирует ответ с данными пользователя.