高分请教企业内部应用SSO方案（是不是标题一定要长才有人关注？）

想向各位大侠请教一下SSO的问题

先描述一下公司目前的环境

目前公司建立了AD域，所有的客户机均在AD域里面。

有多个应用系统，包括OA,HelpDesk，WorkData，均为BS结构，分别对应的Web应用服务器是Domino,Jboss,IIS

其中前两者采用的是登录验证方式是从AD中验证，而Workdata则是验证信息存储在SQL中，域名是同域名。app*.javaeye.com

现在想用一个统一的SSO方案解决多次登录的问题.

看了一下CAS，对DOMINO好像不支持

现在在看TAM，这个是商业软件，还得慢慢看红皮书。

在看的过程中想有没有更简单的方式，整个SSO方案可以分几步走：

1、用AD验证的系统之间形成SSO，就是用AD的账号登录一个系统之后，其它用AD来验证的系统就不需要再登录

2、用AD 和系统本身验证的应用系统之间形成SSO

3、桌面端到应用系统的SSO，即登录域之后，打开对应的应用系统的链接不再输入密码

不知道描述得是否清楚，请各位给点建议或意见？  --------------------编程问答-------------------- 环境够复杂的!如能将Domino,Jboss,IIS 整合成一个服务器就什么都解决了!Domino本身也是WEB服务器,支持JAVA,如果能将应用统一集成到DOMINO环境下就什么都解决了!DOMINO对SQL也是支持的,建议你统一使用DOMINO验证方式 --------------------编程问答-------------------- 这个问题很有难度，友情up --------------------编程问答-------------------- 建立sso必须的步骤：
一，用户集中到一处，并建立与其他service用户的对应关系
二，用户凭据收拢为一个，并实现与其他service用户凭据的兼容


然后再细化
例如，同为b/s结构程序，可以考虑使用cookie
例如，用户凭据可以考虑数字证书，看起来，数字证书是最适合干这事的

基于pki的sso模型是我曾经研究的方向，可惜最后没有完成。
--------------------编程问答-------------------- 帮你置顶，吸引更多人来讨论 --------------------编程问答-------------------- 自己再顶一下 --------------------编程问答-------------------- 缺少人气，再顶！ --------------------编程问答--------------------

补充：企业软件 ,  企业信息化