整合AD帳號驗證, 只用LDAP和有FSSO差別在:
LDAP驗證無法在用戶電腦登入網域後, 讓Fortigate知道哪個client IP代表某個AD user.
若沒有開啟其他認證功能(例如網頁認證)讓user登入, 當client traffic通過Fortigate時, 是無法對應到和user/group相關規則的.

而使用FSSO,當內網用戶端登入網域後. Fortigate就會知道哪個client IP代表某個AD user.
不需要開網頁認證就可達到,當client traffic通過Fortigate時, 就會依該user/group相關的政策作管控.
使用FSSO還是會設定LDAP去AD查詢user的group相關資訊, 但不是用來做驗證.

FSSO有兩種模式:
DC Agent mode

• 需要在 AD domain controller上安裝agent,所以DC要重開機.
• 需要一台 Collector Agent
• 使用者登入網域的資訊不會掉

Polling mode

• 不需要在 AD domain controller上安裝agent
• 需要一台 Collector Agent 或用 Fortigate local polling connector
• 使用者登入網域的資訊可能會掉

FSSO這個全名是：Fortinet Single Sign-On
用處是透過這個界面來做登入的動作。
但是問題來囉～登入後面會有個叫「驗證」！
而LDAP就是負責「驗證」這個動作的～
流程大概類似這個樣子：
使用者透過FSSO輸入帳密後，FSSO將帳密拋轉給LDAP去驗證，AD驗證完帳密正確後，才會讓使用者通過。