Wenn SSO für WebSphere erforderlich ist, können hierfür ein einfacher WebSphere-Mechanismus zur Authentifizierung über Dritte (LTPA) sowie zusätzliche angepasste Anmeldemodule verwendet werden. Das LTPA-Protokoll führt zu einem Token, das für einen authentifizierten Benutzer erstellt wird. In WebSphere wird ein Token generiert, sobald Berechtigungsnachweise für einen authentifizierten Benutzer hinzugefügt werden. Dieses Token wird dann zum Abrufen von Identitätsinformationen für einen authentifizierten Benutzer in einer SSO-Umgebung verwendet.
Sicherheit wird als Cúram-Anmeldemodul innerhalb einer Kette logischer Module implementiert, die in WebSphere eingerichtet wurden. Mindestens eines dieser Anmeldemodule sollte für das Hinzufügen von Berechtigungsnachweisen für den Benutzer zuständig sein. Das Cúram-Anmeldemodul fügt standardmäßig Berechtigungsnachweise für einen authentifizierten Benutzer hinzu. Daraus ergibt sich, dass die konfigurierte WebSphere-Benutzerregistry, die von einem nachfolgenden Anmeldemodul ausgeführt wird, keine Berechtigungsnachweise hinzufügt. Der empfohlene Ansatz für die Implementierung einer SSO-Lösung ist das Hinzufügen eines angepassten Anmeldemoduls an einer beliebigen Stelle in der Anmeldemodulkette.
Es besteht die Möglichkeit, das Hinzufügen von Berechtigungsnachweisen für einen nicht authentifizierten Benutzer zu inaktivieren und somit die Implementierung einer SSO-Lösung zu ermöglichen.
Das JAAS-Anmeldemodul von Cúram für WebSphere prüft, ob in WebSphere ein LTPA-Token existiert; hierfür wird der Callback "WSCredTokenCallbackImpl" für WebSphere verwendet. Wenn dieses Token existiert und gültig ist, führt das Cúram-Anmeldemodul keine Authentifizierung durch.
Es können Berechtigungsnachweise zur WebSphere-Benutzerregistry hinzugefügt werden. Berechtigungsnachweise umfassen Authentifizierungsinformationen zur Benutzeranmeldung, einschließlich der eindeutigen ID für den Benutzer. WebSphere überprüft, ob für einen Benutzer Berechtigungsnachweise vorhanden sind, nachdem alle konfigurierten Systemanmeldemodule ausgeführt wurden; falls die Berechtigungsnachweise existieren, wird die WebSphere-Benutzerregistry nicht abgefragt. Berechtigungsnachweise werden vom JAAS-Anmeldemodul von Cúram nicht hinzugefügt, wenn die folgenden Einstellungen gelten:
Wie bereits in Bereitstellung einer externen Anwendung erwähnt, gibt es Eigenschaften, die sich auf den Typ des externen Benutzers beziehen und die steuern, ob Berechtigungsnachweise für einen bestimmten externen Benutzertyp zu WebSphere hinzugefügt werden. Zu diesen zählen:
Durch diese Eigenschaften ist eine differenziertere Steuerung der Authentifizierung für externe Benutzertypen möglich.
Falls das JAAS-Anmeldemodul von Cúram keine Berechtigungsnachweise hinzufügt, wird eine Abfrage an die WebSphere-Benutzerregistry abgesetzt, um zu versuchen, ob Berechtigungsnachweise für den Benutzer hinzugefügt werden können.