Utilisation de SSO pour l'authentification avec des cookies LTPA
Grâce à la prise en charge de l'authentification unique (SSO), les utilisateurs Web peuvent s'authentifier une seule fois lorsqu'ils accèdent à la fois aux ressources de WebSphere® Application Server, telles que le HTML, les fichiers JavaServer Pages (JSP), les servlets, les beans d'entreprise, et aux ressources de Lotus Domino, telles que les documents d'une base de données Domino, ou lorsqu'ils accèdent à des ressources dans plusieurs domaines de WebSphere Application Server.
Le protocole LTPA (Lightweight Third Party Authentication) permet aux serveurs d'applications répartis dans plusieurs noeuds et cellules de communiquer de façon sécurisée. Il est conçu pour les environnements comportant plusieurs machines et serveurs d'applications. LTPA peut prendre en charge la sécurité dans un environnement réparti via la cryptographie. Ainsi, LTPA peut chiffrer, générer des signatures numériques et transmettre de manière sécurisée les données liées à l'authentification, puis déchiffrer et vérifier la signature.
Le protocole LTPA fournit par ailleurs la fonction de connexion unique (SSO) avec laquelle un utilisateur peut être authentifié une seule fois dans un domaine DNS et accéder aux ressources dans d'autres cellules WebSphere Application Server sans autre intervention. Les utilisateurs Web peuvent s'authentifier auprès d'un serveur Domino ou WebSphere Application Server. Cette authentification est effectuée via la configuration des serveurs Domino et WebSphere Application Server afin qu'ils partagent les informations d'authentification.
Les utilisateurs Web peuvent ensuite avoir accès à un autre serveur Domino ou WebSphere Application Server du même domaine DNS configuré pour prendre en charge la connexion unique sans qu'ils aient besoin de se connecter à nouveau. Vous pouvez activer la connexion unique dans les serveurs WebSphere Application Server en configurant cette fonction pour WebSphere Application Server. Pour activer SSO entre les serveurs Domino et WebSphere Application Server, vous devez configurer SSO pour WebSphere Application Server et pour Domino.
Conditions préalables
- Vérifiez que tous les serveurs sont configurés comme faisant partie du
même domaine DNS. Les noms de domaine sur chaque système du domaine DNS respectent la
distinction entre les majuscules et les minuscules et doivent être exactement identiques. Par exemple, si le domaine DNS est spécifié commemycompany.com , alors SSO est efficace avec n'importe quel serveur Domino ou WebSphere Application Server sur un hôte qui fait partie dumycompany.com domaine, par exemple,a.mycompany.com etb.mycompany.com .Attention: Le SSO inter-domaines n'est pas pris en charge, par exemple
z.AAAcompany.cometw.BBBcompany.com- où les domaines DNS sont différents. - Vérifiez que tous les serveurs partagent le même registre.
Les serveurs Domino ne prennent pas en charge les registres personnalisés autonomes, mais vous pouvez utiliser un registre pris en charge par Domino comme registre personnalisé autonome dans WebSphere Application Server.![[AIX Solaris HP-UX Linux Windows]](../images/ngdist.svg)
![[IBM i]](../images/ngibmi.svg)
Ce registre peut être soit un serveur d'annuaire LDAP (Lightweight Directory Access Protocol) pris en charge, soit, si SSO est configuré entre deux WebSphere Serveurs d'applications, un registre personnalisé autonome.Vous pouvez utiliser un annuaire Domino configuré pour l'accès LDAP ou d'autres annuaires LDAP pour le registre. Le produit utilisé comme annuaire LDAP doit être pris en charge par WebSphere Application Server. Les produits pris en charge incluent les serveurs Domino et LDAP, tels que IBM® Tivoli® Directory Server. Que vous utilisiez un registre LDAP ou un registre personnalisé autonome, la procédure de configuration de SSO est identique. La différence réside dans la configuration du registre.
- Définissez tous les utilisateurs dans un seul annuaire LDAP. L'utilisation de plusieurs documents d'assistance d'annuaire Domino afin d'accéder à plusieurs répertoires n'est pas prise en charge non plus.
- Activez les cookies HTTP dans les navigateurs car les informations d'authentification générées par le serveur sont transmises au navigateur dans un cookie. Ce dernier est utilisé pour propager les données d'authentification de l'utilisateur vers les autres serveurs, évitant ainsi à l'utilisateur d'entrer ces données pour chaque demande qu'il adresse à un serveur différent.
- Pour un serveur Domino :
- Domino version 6.5.4 pour iSeries et d'autres plateformes est pris en charge.
- Un client Lotus Notes version 5.0.5 ou supérieure est nécessaire à la configuration du serveur Domino en vue de l'utilisation du support SSO.
- Vous pouvez partager les informations d'authentification entre plusieurs domaines Domino.
- Pour WebSphere Application Server :
- WebSphere Application Server version 3.5 ou supérieure pour toutes les plateformes est pris en charge.
- Vous pouvez utiliser tout serveur Web HTTP pris en charge par WebSphere Application Server.
- Vous pouvez partager les informations d'authentification entre plusieurs domaines d'administration de produit.
- L'utilisation de l'authentification de base (ID utilisateur et mot de passe) avec les types de demande
d'authentification "De base" et "Par formulaire" est autorisée.Note: Les mécanismes de connexion par formulaire pour les applications Web nécessitent que SSO soit activé.
- Par défaut, WebSphere Application Server effectue une comparaison pour l'autorisation. Cette comparaison s'effectue en prenant en compte les majuscules et les minuscules. Avec cette comparaison, l'utilisateur authentifié par le serveur Domino correspond exactement à l'entrée (incluant le nom distinctif de base) dans la table d'autorisations de WebSphere Application Server. Si le respect de la casse n'est pas pris en compte pour l'autorisation, activez l'optionIgnore Case propriété dans les paramètres du registre d'utilisateurs LDAP.