Single Sign-on für HTTP-Anforderungen über SPNEGO TAI (veraltet)

WebSphere Application Server stellt einen Trust Association Interceptor (TAI) bereit, der für das sichere Aushandeln und Authentifizieren von HTTP-Anforderungen nach geschützten Ressourcen in WebSphere Application Server den Mechanismus SPNEGO (Simple and Protected GSS-API Negotiation) verwendet.

Veraltetes Feature Veraltetes Feature:

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. In WebSphere Application Server 7.0 ist diese Funktion jetzt veraltet. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.

Weitere Informationen finden Sie im Artikel Single Sign-On für HTTP-Anforderungen über die SPNEGO-Webauthentifizierung erstellen.

depfeat

SPNEGO ist eine im IETF-RFC 2478, Simple and Protected GSS-API Negotiation, definierte Standardspezifikation.

Wenn die Verwaltungssicherheit von WebSphere Application Server aktiviert ist, wird der SPNEGO TAI initialisiert. Während der Verarbeitung eingehender HTTP-Anforderungen interagiert der Webauthentifikator mit dem SPNEGO TAI, der im Sicherheitskonfigurationsrepository definiert und aktiviert ist. Ein Interceptor wird ausgewählt und ist für die Authentifizierung des Zugriffs auf die geschützten Ressourcen zuständig, die in der HTTP-Anforderung angegeben sind.
Wichtig: TAIs sind ein optionales Feature. Wenn kein TAI ausgewählt ist, wird der Authentifizierungsprozess normal fortgesetzt.

HTTP-Benutzer müssen sich nur einmal auf ihrem Desktop anmelden und authentifizieren. Danach werden sie (intern) von WebSphere Application Server authentifiziert. Der SPNEGO TAI ist für den Benutzer von WebSphere-Anwendungen nicht sichtbar. Nur der Webadministrator, der für eine ordnungsgemäße Konfiguration, Kapazität und Wartung der Webumgebung zuständig ist, kann den SPNEGO TAI sehen.

Neben den Sicherheitslaufzeitservices von WebSphere Application Server sind einige externe Komponenten erforderlich, um den Betrieb des SPNEGO TAI vollständig zu aktivieren. Zu den externen Komponenten gehören folgende:
  • [Windows]Microsoft Windows-Server mit Active Directory-Domäne und zugehörigem Kerberos-Key-Distribution-Center (KDC). Informationen über die unterstützten Microsoft Windows-Server finden Sie in den Systemvoraussetzungen für WebSphere Application Server Version 9.0 unter Windows.
  • Eine Clientanwendung, z. B. ein Browser oder ein Microsoft-.NET-Client mit Unterstützung für das im IETF RFC 2478 definierte SPNEGO-Authentifizierungsverfahren. Beispiele für Browser sind Microsoft Internet Explorer ab Version 5.5 oder Mozilla Firefox Version 1.0. Jeder Browser muss für die Verwendung des SPNEGO-Mechanismus konfiguriert werden. Nähere Informationen zu dieser Konfiguration finden Sie im Artikel Client-Browser für die Verwendung von SPNEGO konfigurieren (nicht mehr unterstützt).
Die Authentifizierung von HTTP-Anforderungen wird vom Anforderer (der Clientseite) durch die Generierung eines SPNEGO-Tokens ausgelöst. WebSphere Application Server empfängt dieses Token und prüft das Vertrauen zwischen dem Anforderer und WebSphere Application Server. Der SPNEGO TAI decodiert dazu die Identität des Anforderers und ruft diese dann aus dem SPNEGO-Token ab. Mit dieser Identität wird ein sicherer Kontext zwischen dem Anforderer und dem Anwendungsserver etabliert.
Hinweis: Der SPNEGO TAI ist in WebSphere Application Server eine serverseitige Lösung. Clientseitige Anwendungen müssen das SPNEGO-Token für den SPNEGO TAI generieren. Die Identität des Anforderers in der Sicherheitsregistry von WebSphere Application Server muss mit der vom SPNEGO TAI abgerufenen Identität übereinstimmen. Diese Übereinstimmung ist gewährleistet, wenn der Active Directory-Server von Microsoft Windows der in WebSphere Application Server verwendete LDAP-Server ist. Zur Unterstützung einer angepassten Zuordnung von Identitäten in Active Directory zur Sicherheitsregistry von WebSphere Application Server ist ein angepasstes Anmeldemodul als Plug-in verfügbar. Nähere Einzelheiten zur Verwendung dieses angepassten Anmeldemoduls finden Sie im Artikel Principalnamen des Kerberos-Clients einer WebSphere-Benutzerregistry-ID für SPNEGO-TAI zuordnen (veraltet).
WebSphere Application Server wertet die Identität anhand der Sicherheitsregistry aus. Bei erfolgreicher Auswertung wird ein LTPA-Sicherheitstoken generiert. Die HTTP-Antwort wird dann mit einem Cookie versehen und an den Anforderer gesendet. Wenn derselbe Anforderer nachfolgend HTTP-Anforderungen hinsichtlich des Zugriffs auf weitere geschützte Ressourcen in WebSphere Application Server stellt, wird das zuvor erstellte LTPA-Sicherheitstoken verwendet, um wiederholte Anmeldeanforderungen zu vermeiden.

Der Handshake-Prozess für diese Anforderungen und Antworten ist in der folgenden Abbildung dargestellt.

Abbildung 1. HTTP-Anforderungsverarbeitung in WebSphere Application Server mit SPNEGO TAIDer Anforderung/Antwort-Handshake-Prozess. WebSphere Application Server überprüft die Identität anhand seiner Sicherheitsregistry, erzeugt bei erfolgreicher Prüfung ein LTPA-Sicherheitstoken (Lightweight Third Party Authentication), speichert und gibt ein Cookie an den Anforderer in der HTTP-Antwort zurück. Nachfolgende HTTP-Anforderungen desselben Anforderers für den Zugriff auf weitere gesicherte Ressourcen in WebSphere Application Server verwenden das zuvor erstellte LTPA-Sicherheitstoken, um wiederholte Anmeldeanforderungen zu vermeiden.
Der SPNEGO TAI kann für alle oder ausgewählte WebSphere Application Server in einer Zellenkonfiguration von WebSphere Application Server aktiviert werden. Das Verhalten jeder einzelnen Instanz des SPNEGO TAI wird von angepassten Konfigurationseigenschaften gesteuert, die beispielsweise die Filterkriterien für HTTP-Anforderungen benennen. Solche Kriterien können der Hostname und der Name des Sicherheitsrealms sein, aus denen der Kerberos-SPN (Service Principal Name) erstellt wird. Weitere Informationen zum Definieren und Festlegen angepasster Konfigurationseigenschaften für den SPNEGO TAI finden Sie in folgenden Artikeln:

Der Webadministrator kann auf die in der folgenden Abbildung dargestellten Sicherheitskomponenten für den SPNEGO TAI und die zugehörigen Konfigurationsdaten zugreifen.

Abbildung 2. Sicherheits- und Konfigurationselemente für den SPNEGO TAISicherheits- und Konfigurationselemente für den SPNEGO TAI: Webauthentifizierungsmodul, SPNEGO Trust Association Interceptor, JGSS- und SPNEGO-Sicherheitsprovider, Kerberos-Konfiguration und Kerberos-Chiffrierschlüsseldateien, Konfigurationseigenschaften des SPNEGO TAI und JVM-Systemeigenschaften.
  • Das Webauthentifizierungsmodul und der LTPA-Mechanismus bilden das Plug-in-Laufzeitgerüst für Trust Association Interceptors (TAIs). Nähere Einzelheiten zum Konfigurieren des LTPA-Mechanismus für die Verwendung mit dem SPNEGO TAI finden Sie im Artikel LTPA-Verfahren konfigurieren.
  • Der JGGS-Provider (Java Generic Security Service) ist im Java SDK ([AIX Solaris HP-UX Linux Windows][z/OS]jre/lib/ibmjgssprovider.jar[IBM i]Stammverzeichnis_des_Anwendungsservers/java/endorsed/ibmjgssprovider.jar) enthalten und wird zum Anfordern des Kerberos-Sicherheitskontextes und der Berechtigungsnachweise für die Authentifizierung verwendet. IBM® JGSS 1.0 ist ein Java-GSSAPI-Gerüst (Generic Security Service Application Programming Interface) mit Kerberos Version 5 als zugrunde liegendem Standardsicherheitsmechanismus. GSSAPI ist eine genormte abstrakte Schnittstelle, unter der verschiedene Sicherheitsmechanismen integriert werden können, die auf Technologien mit privatem Schlüssel oder öffentlichem Schlüssel oder auf anderen Sicherheitstechnologien basieren. GSSAPI schirmt gesicherte Anwendungen von der Komplexität und den Besonderheiten der verschiedenen zugrunde liegenden Sicherheitsmechanismen ab. Mit GSSAPI können Identität und Nachrichtenursprung authentifiziert werden und die Integrität und Vertraulichkeit von Nachrichten gewährleistet werden. Nähere Informationen hierzu finden Sie im Artikel JGSS.
  • Die Kerberos-Konfigurationseigenschaften (krb5.conf oder krb5.ini) und Kerberos-Chiffrierschlüssel (in einer Kerberos-Chiffrierschlüsseldatei) werden für den Aufbau einer sicheren gegenseitigen Authentifizierung verwendet.

    Der Kerberos Key Table Manager (Ktab) gehört zum JGSS. Mit ihm können Sie in einer lokalen Kerberos-Chiffrierschlüsseldatei gespeicherten Principal-Namen und Serviceschlüssel verwalten. Mit den in der Kerberos-Chiffrierschlüsseldatei aufgelisteten Paaren aus Principal-Name und Schlüssel können sich auf einem Host ausgeführte Services gegenüber dem Kerberos Key Distribution Center (KDC) authentifizieren. Ein Server kann Kerberos erst verwendet, wenn auf dem Host, der den Server ausführt, eine Kerberos-Chiffrierschlüsseldatei initialisiert wurde.

    Im Artikel Mit dem Befehl ktab die Kerberos-Chiffrierschlüsseldatei verwalten sind die Kerberos-Konfigurationsanforderungen für den SPNEGO TAI genannt. Dieser Artikel erläutert auch die Verwendung von Ktab.

  • Der SPNEGO-Provider stellt die Implementierung des SPNEGO-Authentifizierungsverfahrens in [AIX Solaris HP-UX Linux Windows][z/OS]/$WAS_HOME/java/jre/lib/ext/ibmspnego.jar[IBM i]Stammverzeichnis_des_Anwendungsservers/java/ext/ibmspnego.jar bereit.
  • Die angepassten Konfigurationseigenschaften steuern das Laufzeitverhalten des SPNEGO TAI. Konfigurationsoperationen werden in der Administrationskonsole oder mit Scriptfunktionen ausgeführt. Weitere Informationen zu diesen angepassten Konfigurationseigenschaften enthält der Artikel Angepasste JVM-Konfigurationseigenschaften für SPNEGO TAI (veraltet).
  • Die angepassten JVM-Eigenschaften steuern die Diagnosetraceinformationen zur Fehlerbestimmung für den JGSS-Sicherheitsprovider und die Verwendung des Features für erneutes Laden von Eigenschaften. Diese angepassten Eigenschaften werden im Artikel Angepasste JVM-Konfigurationseigenschaften für SPNEGO TAI beschrieben.
Wenn WebSphere Application Server den SPNEGO TAI verwendet, ergeben sich die folgenden Vorteile:
  • [Windows]Es wird eine integrierte SSO-Umgebung in Microsoft Windows-Servern unter Verwendung der Active Directory-Domäne erstellt.
  • Die Kosten für die Verwaltung einer großen Anzahl von IDs und Kennwörtern sinken.
  • Es wird eine sichere Übertragung von Sicherheitsberechtigungsnachweisen vom Web-Browser oder von Microsoft-.NET-Clients mit gegenseitiger Authentifizierung ermöglicht.
  • Es besteht Interoperabilität mit Web-Services und Microsoft-.NET-Anwendungen, die die SPNEGO-Authentifizierung auf Transportebene verwenden.
Wenn Sie den SPNEGO TAI in Ihrer Umgebung von WebSphere Application Server verwenden möchten, müssen Sie die Implementierung planen. Informationen zur Planung für SPNEGO TAI finden Sie im Artikel SSO-Funktionalität mit SPNEGO TAI - Prüfliste (veraltet). Die Implementierung der Verwendung des SPNEGO TAI lässt sich in folgende Zuständigkeitsbereiche unterteilen:
Browserendbenutzer
Der Endbenutzer muss den Web-Browser oder die Microsoft-.NET-Anwendung für das Absetzen von HTTP-Anforderungen konfigurieren, die vom SPNEGO TAI verarbeitet werden.
Webadministrator
Der Webadministrator ist dafür verantwortlich, den SPNEGO TAI von WebSphere Application Server für die Beantwortung von HTTP-Anforderungen des Clients zu konfigurieren.
Administrator von WebSphere Application Server
Der Administrator von WebSphere Application Server ist dafür zuständig, WebSphere Application Server und den SPNEGO TAI für eine optimale Installation zu konfigurieren.
Im Artikel Single Sign-On für HTTP-Anforderungen über SPNEGO-TAI erstellen (veraltet) wird erläutert, welche Tasks zur Verwendung des SPNEGO TAI ausgeführt werden müssen und wie die verantwortlichen Parteien diese Tasks ausführen.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_SPNEGO_overview
Dateiname:csec_SPNEGO_overview.html