配置单点登录

通过单点登录 (SSO) 支持, Web 用户可以在跨多个 WebSphere® Application Server访问 Web 资源时进行一次认证。 Web 应用程序的表单登录机制要求启用 SSO。 使用本主题首次配置单点登录。

准备工作

仅当轻量级第三方认证 (LTPA) 是认证机制时,才支持 [AIX Solaris HP-UX Linux Windows][IBM i]SSO。

[z/OS]当轻量级第三方认证 (LTPA) 作为认证机制时,支持 SSO。

当启用 SSO 时,创建包含 LTPA 令牌的 cookie 并将该 cookie 插入到 HTTP 响应中。 当用户在同一域名服务(DNS)域的任何其他进程中访问其他网络资源时 WebSphere Application Server 进程中访问其他网络资源时,cookie 会在请求中发送。 然后,从 cookie 中抽取 LTPA 令牌并验证。 如果请求是在 WebSphere Application Server 的不同单元之间的请求,则必须在单元之间共享 LTPA 密钥和用户注册信息,这样 SSO 才能正常工作。 SSO 域中每个系统上的域名是区分大小写的,且必须完全匹配。

[Windows]对于本地操作系统,如果正在使用领域,那么领域名是域名。 如果未在使用域,那么领域名是机器名。

[AIX HP-UX Solaris][Linux][IBM i]域名与主机名相同。

对于轻量级目录访问协议 (LDAP),领域名是 LDAP 服务器的 host:port 领域名。 如果任何 Web 应用程序用表单登录作为认证方法,那么 LTPA 认证机制要求启用 SSO。

由于单点登录是 LTPA 的子集,因此建议您阅读 轻量级第三方认证 以获取更多信息。

启用安全性属性传播时,会始终将以下 cookie 添加到响应:
LtpaToken2
LtpaToken2 包含更强的加密,且允许您将多个属性添加到令牌。 此令牌包含认证标识和其他信息,例如,在确定唯一性时不仅要考虑标识的情况下,还会需要用于联系原始登录服务器的属性和用于查询主体集的唯一高速缓存密钥。
注: 在启用 互操作性方式 标志时,可以选择将以下 cookie 添加到响应中:
LtpaToken
LtpaToken 用于与 WebSphere Application Server的先前发行版进行互操作。 此令牌只包含认证标识属性。
[z/OS]注: 针对 WebSphere Application Server V 5.1.0.2之前的发行版生成 LtpaToken 。 针对 WebSphere Application Server V 5.1.0.2 及更高版本生成 LtpaToken2 。
[AIX Solaris HP-UX Linux Windows][IBM i]注: LtpaToken 是针对 WebSphere Application Server V 5.1.1之前的发行版生成的。 为 WebSphere Application Server V 5.1.1 及更高版本生成 LtpaToken2 。
表 1. LTPA 令牌类型此表描述 LTPA 令牌类型。
令牌类型 用途 如何指定
仅 LtpaToken2 这是缺省令牌类型。 它使用 AES-CBC-PKCS5 填充加密强度(128 位密钥大小)。 此令牌比 WebSphere Application Server V 6.02之前使用的旧 LtpaToken 更强。 不必与旧发行版进行互操作时,建议使用此选项。 禁用管理控制台中 SSO 配置面板中的互操作性方式选项。 要访问此面板,请完成以下步骤:
  1. 单击 安全性> 全局安全性
  2. 在“Web 安全性”下,单击单点登录 (SSO)
LtpaToken 和 LtpaToken2 用于与 WebSphere Application Server V 5.1.1之前的发行版进行互操作。 旧的 LtpaToken cookie 与新的 LtpaToken2 cookie 一起存在。 如果已正确共享 LTPA 密钥,那么您应该能够使用此选项与 WebSphere 的任何版本进行互操作。 启用管理控制台中 SSO 配置面板中的互操作性方式选项。 要访问此面板,请完成以下步骤:
  1. 单击 安全性> 全局安全性
  2. 在“Web 安全性”下,单击单点登录 (SSO)

有关此任务

需要以下步骤以为第一次的使用配置 SSO。

过程

  1. 打开管理控制台。

    [z/OS][AIX Solaris HP-UX Linux Windows]类型http://localhost:port_number/ibm/console以在 Web 浏览器中访问管理控制台。

    [IBM i]类型http://server_name:port_number/ibm/console以在 Web 浏览器中访问管理控制台。

    端口 9060 是用于访问管理控制台的缺省端口号。 但是,在安装期间,您可能已指定另一个端口号。 请使用适当的端口号。

  2. 单击 安全性> 全局安全性
  3. 在 "Web 安全性" 下,单击 单点登录 (SSO)
  4. 如果禁用了 SSO ,请单击 已启用 选项。
    单击启用选项后,确保完成剩余的步骤以启用安全性。
  5. 如果所有请求都要使用 HTTPS ,请单击 " 需要 SSL "。
  6. 在 SSO 生效的 域名 字段中输入标准域名。
    如果指定域名,那么这些域名必须是标准的。 如果域名不是标准域名,那么 WebSphere Application Server 不会为 LtpaToken cookie 设置域名值,并且 SSO 仅对创建 cookie 的服务器有效。

    指定多个域时,可以使用以下定界符: 分号 (;) ,空格 () ,逗号 () 或管道 (|)。 WebSphere Application Server 按从左到右的顺序搜索指定的域。 每个域将与 HTTP 请求的主机名作比较,直到找到第一个匹配项为止。 例如,如果指定ibm.com®; austin.ibm.com并且先在 ibm.com 域中找到匹配项, WebSphere Application Server 不会继续在 austin.ibm.com 域中搜索匹配项。 但是,如果在 ibm.com 或 austin.ibm.com 域中找不到匹配项,那么 WebSphere Application Server 不会为 LtpaToken cookie 设置域。

    表 2. 用于配置域名字段. 的值

    此表描述用来配置域名字段的值。
    域名值类型 示例 用途
    空白   未设置域。 这会导致浏览器将域设为请求主机名。 登录仅在该单个主机上有效。
    单个域名 austin.ibm.com 如果请求将发送到已配置域内的主机,那么登录对该域中的所有主机有效。 否则,登录仅对请求主机名有效。
    UseDomainFromURL UseDomainFromURL 如果请求将发送到已配置域内的主机,那么登录对该域中的所有主机有效。 否则,登录仅对请求主机名有效。
    多个域名 austin.ibm.com;raleigh.ibm.com 登录对请求主机名的域内所有主机有效。
    注意: 不支持跨域 SSO。 例如,chicago.xxx.comcleveland.yyy.com,它们的 DNS 域不同。
    多个域名和 UseDomainFromURL austin.ibm.com;raleigh.ibm.com; UseDomainFromURL 登录对请求主机名的域内所有主机有效。
    注意: 不支持跨域 SSO。 例如,chicago.xxx.comcleveland.yyy.com,它们的 DNS 域不同。
    如果指定 UseDomainFromURL, WebSphere Application Server 则会将 SSO 域名值设置为发出请求的主机的域名。 例如,如果 HTTP 请求来自 server1.raleigh.ibm.com、 WebSphere Application Server 会将 SSO 域名值设置为raleigh.ibm.com.
    提示: 值,UseDomainFromURL,不区分大小写。 您可以输入usedomainfromurl以使用此值。

    有关更多信息,请参阅 单点登录设置

  7. 可选: 如果要在 WebSphere Application Server V 5.1.1 或更高版本中支持 SSO 连接以与先前版本的应用程序服务器进行互操作,请启用 互操作性方式 选项。

    此选项将旧样式的 LtpaToken 令牌设置到响应中,因此它可以发送到仅使用此令牌类型的其他服务器。 否则,只将 LtpaToken2 令牌添加到响应。

    如果考虑性能,您仅连接至 V6.1 或更高版本服务器且这些服务器未在运行依赖于 LtpaToken 的产品,请不要启用互操作性方式。 如果未启用互操作性方式,那么响应中不会返回 LtpaToken。

  8. 可选: 如果您希望在登录特定前端服务器期间添加的信息传播到其他前端服务器,请启用 Web 入站安全性属性传播 选项。
    SSO 令牌未包含任何敏感属性,但在需要与原始登录服务器联系以检索已序列化信息时,需要了解该服务器的位置。 如果在同一 DRS 复制域中配置了两台前端服务器,那么它还包含高速缓存查找值以查找 DynaCache 中序列化的信息。 有关更多信息,请参阅 安全性属性传播
    重要信息: 如果以下语句为 true ,那么出于性能原因,建议您禁用 Web 入站安全性属性传播 选项:
    • 在登录期间,未将无法在另一台前端服务器获取的任何特定信息添加到主体集。
    • 未使用 WSSecurityHelper 应用程序编程接口 (API) 将定制属性添加到 PropagationToken 令牌。
    如果发现主体集中缺少定制信息,那么重新启用 Web 入站安全性属性传播选项以查看该信息是否成功传播到其他前端应用程序服务器。
    以下两个定制属性在启用安全性属性传播时可能有助于改进性能:
    • com.ibm.CSI.propagateFirstCallerOnly

      此属性的缺省值为 true。 当此定制属性设置为 true 时,将在启用安全性属性传播时记录传播令牌中保留在线程上的第一个调用者。 此属性设置为 false 时,系统会记录所有调用者开关,这可能会影响性能。

    • com.ibm.CSI.disablePropagationCallerList

      当此定制属性设置为 true 时,将完全禁用在传播令牌中添加调用者或主机列表的功能。 当环境中不需要使用传播令牌中的调用者或主机列表时,此功能就很有用。

  9. 单击“确定”。

下一步做什么?

要使更改生效,请保存、停止并重新启动所有产品 Deployment Manager、节点和服务器。