信任關聯

信任關聯可讓您整合 WebSphere® Application Server 安全和協力廠商安全伺服器。對整合式配置的需求是很迫切的，尤其是當單一產品無法滿足特定 Web 環境的所有需求時，或當移轉不是可行的解決方案時。

當您使用信任關聯時，協力廠商安全伺服器會鑑別使用者，然後 WebSphere Application Server 可以授權使用者並利用其精細存取控制。

信任關聯的範例用法是 Web 單一登入 (SSO) 和反向 Proxy。 Web SSO 的範例有 SAML Web SSO 和 OpenId Connect (OIDC)。對於反向 Proxy ，反向 Proxy 伺服器充當前端鑑別伺服器，並以信任關聯攔截程式 (TAI) 可以耗用的標頭形式將認證轉遞至 WebSphere Application Server 。在 Web SSO 實務中， TAI 直接涉及鑑別程序。在任一情況下，在 TAI 鑑別完成之後， WebSphere Application Server 會將其授權原則套用至產生的認證。

使用信任關聯攔截程式進行鑑別及授權

當啟用信任關聯時， WebSphere Application Server 會在伺服器啟動期間針對每一個已配置的 TAI 呼叫 initialize 方法。每當起始設定的伺服器收到 URL 的 Web 要求，且該 URL 具有具有角色需求的安全限制時，伺服器會針對每一個 TAI 呼叫 isTargetInterceptor 方法。此方法決定哪些 TAI 可以處理要求。如果所有 isTargetInterceptor 方法都傳回 false，則 Web 鑑別會透過標準 Java EE 流程繼續進行。當 isTargetInterceptor 方法傳回 true時，伺服器會針對 TAI 呼叫 negotiateValidateAndEstablishTrust 方法，以便 TAI 可以嘗試鑑別要求。

鑑別成功之後， WebSphere Application Server 授權會以 Java EE Web 登入的相同方式繼續進行。會根據應用程式配置內的安全角色至使用者或群組對映，來評估使用者名稱及任何群組名稱。如果找到相符項，則會將「主旨」對映至相符的角色。然後，伺服器可以判斷「主旨」是否具有所要求 URL 的必要角色。

信任關聯攔截程式介面

信任關聯攔截程式介面的目的是容許攔截程式執行鑑別，而 WebSphere Application Server 會施行授權及進一步細部的存取控制。攔截程式可以是 Web SSO 或反向 Proxy 用戶端。信任關聯介面是 com.ibm.wsspi.security.tai.TrustAssociationInterceptor。