使用 LTPA Cookie 的鑑別之單一登入

使用單一登入 (SSO) 支援,當存取 WebSphere® Application Server 資源 (例如 HTML、 JavaServer Pages (JSP) 檔案、Servlet、Enterprise Bean 及 Lotus Domino 資源 (例如 Domino 資料庫中的文件) ,或存取多個 WebSphere Application Server 網域中的資源時, Web 使用者可以鑑別一次。

分散在多個節點和 Cell 中的應用程式伺服器可以利用「小型認證機構 (LTPA)」通訊協定來安全地通訊。 LTPA 適用於分散式、多重應用程式伺服器和機器環境。 LTPA 可以透過加密法來支援分散式環境中的安全。 這項支援可讓 LTPA 加密、數位簽署及安全傳輸鑑別相關資料,稍後再解密及驗證簽章。

LTPA 也提供 SSO 特性,其中使用者只需要在網域名稱系統 (DNS) 網域中鑑別一次,且可以存取其他 WebSphere Application Server Cell 中的資源,而不會出現提示。 Web 使用者可以向 WebSphere Application Server 或 Domino 伺服器鑑別一次。 此鑑別是透過配置 WebSphere Application Server 及 Domino 伺服器來共用鑑別資訊來達成。

在不重新登入的情況下, Web 使用者可以存取啟用 SSO 之相同 DNS 網域中的其他 WebSphere Application Server 或 Domino 伺服器。 您可以透過為 WebSphere Application Server配置 SSO ,在 WebSphere Application Server 之間啟用 SSO。 若要在 WebSphere Application Server 與 Domino 伺服器之間啟用 SSO ,您必須同時為 WebSphere Application Server 及 Domino 配置 SSO。

必要條件及條件

若要利用 WebSphere Application Server 之間或 WebSphere Application Server 與 Domino 伺服器之間的 SSO 支援,應用程式必須符合下列必要條件和條件:
  • 驗證所有伺服器都已配置為相同 DNS 網域的一部分。 DNS 網域中每一個系統上的網域範圍名稱都區分大小寫,且必須完全相符。 例如,如果 DNS 網域指定為 mycompany.com,則 SSO 對屬於 mycompany.com 網域的主機上的任何 Domino 伺服器或 WebSphere Application Server 有效,例如 a.mycompany.comb.mycompany.com
    注意: 不支援跨網域 SSO ,例如 z.AAAcompany.comw.BBBcompany.com -其中 DNS 網域不同。
  • 請驗證所有伺服器都共用相同的登錄。

    [AIX Solaris HP-UX Linux Windows][IBM i]此登錄可以是受支援的「輕量型目錄存取通訊協定 (LDAP)」目錄伺服器,或者如果在兩個 WebSphere Application Server 之間配置 SSO ,則可以是獨立式自訂登錄。

    Domino 伺服器不支援獨立式自訂登錄,但您可以在 WebSphere Application Server內使用 Domino 支援的登錄作為獨立式自訂登錄。

    您可以使用針對 LDAP 存取所配置的 Domino 名錄,或登錄的其他 LDAP 目錄。 LDAP 目錄產品必須具有 WebSphere Application Server 支援。 支援的產品包括 Domino 及 LDAP 伺服器,例如 IBM® Tivoli® Directory Server。 不論使用 LDAP 或獨立式自訂登錄的選項為何, SSO 配置都相同。 差異在於登錄的配置。

  • 在單一 LDAP 目錄中定義所有使用者。 也不支援使用多個 Domino 名錄輔助文件來存取多個目錄。
  • 在瀏覽器中啟用 HTTP Cookie ,因為伺服器所產生的鑑別資訊會以 Cookie 傳輸至瀏覽器。 Cookie 用來將使用者的鑑別資訊傳播至其他伺服器,可免除使用者對不同伺服器的每一項要求輸入鑑別資訊。
  • 若為 Domino 伺服器:
    • 支援 Domino 版次 6.5.4 for iSeries 及其他平台。
    • 若要為 Domino 伺服器配置 SSO ,需要 Lotus Notes 用戶端版本 5.0.5 或更新版本。
    • 您可以跨多個 Domino 網域共用鑑別資訊。
  • 若為 WebSphere Application Server:
    • 所有平台都支援 WebSphere Application Server 3.5 或更新版本。
    • 您可以使用 WebSphere Application Server支援的任何 HTTP Web 伺服器。
    • 您可以在多個產品管理網域之間共用鑑別資訊。
    • 支援使用基本和表單登入機制的基本鑑別 (使用者 ID 和密碼)。
      附註: Web 應用程式的表單登入機制需要啟用 SSO。
    • 依預設, WebSphere Application Server 會對授權執行區分大小寫的比較。 此比較意味著 Domino 所鑑別的使用者完全符合 WebSphere Application Server 授權表中的項目 (包括基本識別名稱)。 如果授權不考量區分大小寫,請在 LDAP 使用者登錄設定中啟用 Ignore Case 內容。