当网络环境中已有一套数据库系统存储并管理用户认证信息、组织结构的情况下，SANGFOR AC设备支持配置SQL查询语句，查询该数据库系统中的用户列表和已认证用户，并同步到设备的组织结构和在线用户列表中，从而支持和数据库系统结合的单点登录，实现用户通过数据库认证后，即通过设备的用户认证，同时用户从数据库认证系统中注销，也自动完成在设备上的注销。目前支持的数据库类型有 orACle，ms sql server，db2 和 mysql 几种。如图所示：

数据流的过程如下：

1、PC 通过认证服务器的认证，在数据库服务器中更新 PC 的认证信息。

2、设备定时查询数据库服务器中在线用户，并更新设备自身的在线用户列表。

3、PC 用设备取到的在线用户的身份上网。

设置方法：

第一步：设置认证策略，根据需要使用单点登录的用户的 IP 或 MAC 设置认证策略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置.

第二步：设置数据库服务器，点击进入『用户认证』→『外部认证服务器』进行设置（参见章节 3.5.2.2）。

第三步：点击进入『用户认证』→『单点登录』→『数据库认证』页面进行配置。

勾选『启用数据库认证单点登录』选择数据库服务器并设置 sql 查询语句。[数据库服务器]选择第一步设置好的数据库服务器

[获取已认证用户列表的 sql 语句]设置可以查询到在线用户的 select 语句，设备通过该select 语句查询数据库中的用户信息表来获取在线用户。注意 sql 语句返回的结果集不能超过 2 列，其中第一列为用户名，第二列为 IP 地址，且查询得到的记录数不能超过 200000 条。

[获取已认证用户列表的时间间隔] 默认值是 30s，一般情况下，此值说明用户通过认证服务器认证到通过 AC 认证之间的最大时间间隔。

点击[测试有效性]可以列出可以获取的信息：

注意：
1、在线用户列表只支持同步“用户名”和“ip”地址两列，不支持同步其他用户属 性，如用户是否禁用、是否过期等，默认同步过来的用户是启用和永不过期的。
2、数据库认证支持用户自动同步，具体请参见『用户管理』→『用户自动同步』（参 见章节 3.5.3.2.1）
3、在某些情况下，用户通过认证服务器认证之后在一个时间间隔后（取决于[获取已认证用户列表的时间间隔]设置）才会通过 AC 的认证，建议认证策略设置单点登录失败时选 择[不需要认证]的认证方式