Eugie,
Заявленные требования являются типичными. Но детали варьируются в значительной степени.
Следовательно, нецелесообразно делать вывод о едином подходе или решении.
Требования должны быть дополнительно разбиты и проанализированы отдельно.
Например: SSO в целом имеет два требования: а) Аутентификация, б) Авторизация.
Вы можете использовать одно решение для обоих или несколько решений для каждого. Система eloborate может использовать несколько аутентификаций одновременно, например .. на основе форм, на основе сертификатов, на основе токенов, удаленная аутентификация.
В случае авторизации у нас может быть централизованное решение с использованием LDAP / ActiveDirectory / Domino.
или децентрализованный со всей вышеуказанной координацией.
Каждое из этих решений имеет ограничения, например, Kerberos не эффективен против атак с использованием паролей
Выбор решений безопасности зависит от многих параметров, таких как
постоянная угроза, стоимость, prrformace и т. д.
Проект WS-Security пытается решить множество подобных архитектурных проблем.
Чтобы ответить на ваш вопрос - Нет, вы не можете использовать Kerberos для шифрования SSO и транспортного уровня
--Kiran.Kumar