16.2. SSO の動作

ユーザーは、仮想ホストにある任意の Web アプリケーションの保護されていないリソースのみにアクセスする限り、拒否されません。
任意の Web アプリケーションの保護されたリソースにアクセスする場合は、Web アプリケーションに対して設計されたログイン方法を使用して認証を行うよう求められます。
認証されると、関連付けられたすべての Web アプリケーションに対するアクセス制御決定にこのユーザーに関連付けられたロールが使用されます。この場合、ユーザーは各アプリケーションに対して個別に認証することを求められません。
Web アプリケーションがセッションを無効化する場合 (javax.servlet.http.HttpSession.invalidate() メソッドを呼び出すことにより)、すべての Web アプリケーションのユーザーのセッションは無効化されます。
他のセッションがまだ有効な場合、セッションタイムアウトにより SSO は無効になりません。