Напомню всем, что речь идёт об интранет, то есть о внутренних сервисах организации супротив интернет-сервисов.
Да, и логин/пароль - всё-таки самый ненадёжный метод, ибо инфраструктуру Kerberos или несимметричного шифрования хрен сломаешь. Да и от челов не зависит.
Можно еще и видеокамеру перед монитором поставить, чтобы «морду» опознавала :) Т.е. пришел на работу, в глаз тебе посветил сканер сетчатки, потом кладешь руку на сканер отпечатка ладони и система выходит изо «сна». Тем временем распознавалка лица следит, не отошел ли ты от компьютера, и если отошел - автоматом включается блокировка экрана. Если хочешь попасть на какой-нибудь сетевой сервис после прохождения полной аутентификации, та же распознавалка лица через какой-нибудь эдакий pam-модуль дает тебе доступ безо всяких вводов паролей...
Правда, то, что я описал, сильно смахивает на работу какого-нибудь сверхсекретного объекта :)
Господа, давайте не забывать всё же, что единый вход для веб-приложений - это прежде всего удобство сотрудников, а не мера обеспечения тотальной секьюрности, которая действительно зачастую не слишком актуальна. Речь идёт именно о том, чтобы в оптимале Маша или Петя, единожды авторизовавшись со своей рабочей станции, больше не вводили никаких чудесных логинов и паролей нигде. При этом не стоит забывать о том, что на обычной парольной авторизации ключ клином тоже не сошёлся Всё-таки когда входишь по токену, а токен - личная вещь, то его и спереть не так-то просто даже при большом желании - в особенности если предварительно рассказать сотруднику, что будет за оставленный на рабочем стол или прямо в гнезде USB-порта ключ.