执行标识映射以跨不同领域中的服务器进行授权

在多数情况下，请求在作为同一安全域的一部分的两台服务器之间向下游传递。 在WebSphere® Application Server，属于同一个单元的两个服务器也是属于同一个安全域的成员。 在同一单元中，两台服务器具有相同的用户注册表和用于令牌加密的相同的轻量级第三方认证 (LTPA) 密钥。 这两个共同性确保不仅可以解密和验证两台服务器之间传递的 LTPA 令牌（在其他用户属性之间），而且还可以将令牌中的用户标识映射到授权引擎所识别的属性。

最可靠的建议的配置涉及同一单元中的两台服务器。 但是，有时候您需要集成无法使用同一用户注册表的多个系统。 当两台服务器的用户注册表不同时，目标服务器的安全域或领域与发送服务器的安全域不匹配。

WebSphere Application Server允许在发送出站请求之前或允许现有安全凭证流向目标服务器之前进行映射。 凭证使用信任目标域的规范进行入站映射。

映射的另一种方法是将没有令牌或密码的用户标识发送到目标服务器（实际上不映射标识）。 用户标识的使用基于两台服务器之间的信任。 使用公共安全互操作性 V2 (CSIv2) 身份断言。 当启用该身份断言时，服务器仅根据原始客户机使用什么来执行初始认证而发送 X.509 证书、主体名称或专有名称 (DN)。 期间CSIv2身份确认，信任建立在WebSphere应用服务器。

目标用户注册表中必须存在用户标识，以使用身份断言。 此过程还可以实现其他 Java™ 2 平台之间的互操作性，Enterprise Edition（ J2EE ） 版本1.4以及更高兼容的应用服务器。 如果发送服务器和目标服务器都配置了身份断言， WebSphere Application Server始终使用这种身份验证方法，即使两台服务器位于同一个安全域中。 更多信息CSIv2身份断言，参见向下游服务器进行身份断言。

当您需要入站映射时，可能因为入站服务器的映射能力，您必须确保两台服务器有相同的 LTPA 密钥，这样您就可以获取对用户标识的访问权。 通常，在服务器之间的安全通信中，LTPA 令牌传递到入站 JAAS 登录配置的 WSCredTokenCallback 回调中，以供客户机认证。 可使用一种方法来允许您打开 LTPA 令牌（如果有效），并获取对用户唯一标识的访问权，这样就可以执行映射。 有关详细信息，请参阅For more information, see配置入站身份映射。 在其他情况下（例如身份断言），可以接收入站登录配置的 NameCallback 回调中的用户名，该用户名使您能映射标识。

此部分阐述了下列主题：