Single Sign-on für die Authentifizierung mit LTPA-Cookies

Mit der Unterstützung für Single Sign-on (SSO) können sich Web-Benutzer beim Zugriff auf WebSphere® Application Server Ressourcen, wie HTML, JavaServer Dateien, Servlets, Enterprise Beans und Lotus Domino, wie Dokumente in einer Domino-Datenbank, oder beim Zugriff auf Ressourcen in mehreren WebSphere Application Server, einmal authentifizieren.

Anwendungsserver, die auf mehrere Knoten und Zellen verteilt sind, können mit dem Protokoll LTPA (Lightweight Third Party Authentication) sicher kommunizieren. LTPA ist für Umgebungen mit verteilten, mehrfachen Anwendungsservern und Maschinen gedacht. LTPA kann die Sicherheit in einer verteilten Umgebung durch Verschlüsselung unterstützen. Mit dieser Unterstützung kann LTPA Authentifizierungsdaten verschlüsseln, digital unterzeichnen, sicher übertragen und später entschlüsseln und die Signatur überprüfen.

LTPA bietet auch die SSO-Funktion, bei der sich ein Benutzer nur einmal in einer DNS-Domäne (Domain Name System) authentifizieren muss und auf Ressourcen in anderen Domänen zugreifen kann. WebSphere Application Server Zellen ohne Aufforderung. Web-Benutzer können sich einmalig authentifizieren bei einem WebSphere Application Server oder zu einem Domino-Server. Diese Authentifizierung erfolgt durch die Konfiguration WebSphere Anwendungsserver und Domino-Server können Authentifizierungsinformationen gemeinsam nutzen.

Ohne erneute Anmeldung können Web-Benutzer auf andere WebSphere Anwendungsserver oder Domino-Server in derselben DNS-Domäne, die für SSO aktiviert sind. Sie können SSO aktivieren unter WebSphere Anwendungsserver durch Konfiguration von SSO für WebSphere Application Server. So aktivieren Sie SSO zwischen WebSphere Anwendungsserver und Domino-Server müssen Sie SSO für beide konfigurieren WebSphere Application Server und für Domino.

Vorbedingungen und Rahmenbedingungen

Um die Unterstützung für SSO zwischen WebSphere Anwendungsservern oder zwischen WebSphere Application Server und einem Domino-Server müssen Anwendungen die folgenden Voraussetzungen und Bedingungen erfüllen:
  • Alle Server müssen als Teil derselben DNS-Domäne konfiguriert sein. Bei den Realmnamen für die Systeme in der DNS-Domäne wird zwischen der Groß-/Kleinschreibung unterschieden. Die Namen müssen exakt übereinstimmen. Wenn die DNS-Domäne beispielsweise wie folgt angegeben ist:mycompany.com , dann ist SSO mit jedem Domino-Server oder WebSphere Application Server auf einem Host, der Teil desmycompany.com Domäne, zum Beispiela.mycompany.com Undb.mycompany.com .
    Aufmerksamkeit: Cross-Domain SSO wird nicht unterstützt, zum Beispielz.AAAcompany.com Undw.BBBcompany.com - wo die DNS-Domänen unterschiedlich sind.
  • Alle Server müssen dieselbe Registry gemeinsam benutzen.

    [AIX Solaris HP-UX Linux Windows][IBM i]Dieses Register kann entweder ein unterstützter Lightweight Directory Access Protocol (LDAP)-Verzeichnisserver sein oder, wenn SSO zwischen zwei WebSphere Anwendungsserver, ein eigenständiges benutzerdefiniertes Register.

    Domino-Server unterstützen keine eigenständigen benutzerdefinierten Registrierungen. Sie können jedoch eine von Domino unterstützte Registrierung als eigenständige benutzerdefinierte Registrierung innerhalb von WebSphere Application Server.

    Sie können für die Registrierung ein für den LDAP-Zugriff konfiguriertes Domino-Verzeichnis oder andere LDAP-Verzeichnisse verwenden. Das LDAP-Verzeichnisprodukt muss WebSphere Application Server Unterstützung. Unterstützte Produkte sind sowohl Domino- als auch LDAP-Server, wie zum Beispiel IBM® Tivoli® Directory Server. Die SSO-Konfiguration bleibt gleich, egal ob Sie sich für eine LDAP-Registry oder eigenständige angepasste Registry entscheiden. Der Unterschied liegt in der Konfiguration der Registry.

  • Alle Benutzer müssen in einem einzigen LDAP-Verzeichnis definiert sein. Die Verwendung mehrerer Domino-Verzeichnisverwaltungsdokumente für den Zugriff auf mehrere Verzeichnisse wird ebenfalls nicht unterstützt.
  • Die Benutzer müssen in ihren Browsern HTTP-Cookies aktivieren, da die durch den Server generierten Authentifizierungsdaten an den Browser in einem Cookie transportiert werden. Das Cookie wird dann verwendet, um die Authentifizierungsdaten des Benutzers an weitere Server zu übertragen, sodass die Benutzer ihre Authentifizierungsdaten nicht bei jeder Anforderung an einen anderen Server eingeben müssen.
  • Für einen Domino-Server:
    • Domino-Version 6.5.4 für iSeries und andere Plattformen werden unterstützt.
    • Für die Konfiguration des Domino-Servers für SSO ist Lotus Notes 5.0.5 erforderlich.
    • Sie können Authentifizierungsinformationen über mehrere Domino-Domänen hinweg teilen.
  • Für WebSphere Application Server:
    • WebSphere Application Server Ausführung 3.5 oder höher werden für alle Plattformen unterstützt.
    • Sie können jeden HTTP verwenden, der von WebSphere Application Server unterstützt wird.
    • Authentifizierungsdaten können von mehreren Administrationsdomänen des Produkts gemeinsam verwendet werden.
    • Die Basisauthentifizierung (Benutzer-ID und Kennwort) mithilfe des Basisanmeldeverfahrens sowie des formularbasierten Anmeldeverfahrens wird unterstützt.
      Notiz: Formular-Anmeldemechanismen für Webanwendungen erfordern, dass SSO aktiviert ist.
    • Standardmäßig, WebSphere Application Server führt zur Autorisierung einen Case-Sensitive-Vergleich durch. Dieser Vergleich impliziert, dass ein von Domino authentifizierter Benutzer genau mit dem Eintrag (einschließlich des Basis-Distinguished Name) in der WebSphere Application Server Berechtigungstabelle. Wenn die Groß- und Kleinschreibung bei der Autorisierung nicht berücksichtigt wird, aktivieren Sie dasIgnore Case in den LDAP-Benutzerregistry-Einstellungen.