Single Sign-on für HTTP-Anforderungen über SPNEGO TAI (veraltet)
WebSphere Application Server stellt einen Trust Association Interceptor (TAI) bereit, der für das sichere Aushandeln und Authentifizieren von HTTP-Anforderungen nach geschützten Ressourcen in WebSphere Application Server den Mechanismus SPNEGO (Simple and Protected GSS-API Negotiation) verwendet.

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. In WebSphere Application Server 7.0 ist diese Funktion jetzt veraltet. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.
Weitere Informationen finden Sie im Artikel Single Sign-On für HTTP-Anforderungen über die SPNEGO-Webauthentifizierung erstellen.
depfeatSPNEGO ist eine im IETF-RFC 2478, Simple and Protected GSS-API Negotiation, definierte Standardspezifikation.
HTTP-Benutzer müssen sich nur einmal auf ihrem Desktop anmelden und authentifizieren. Danach werden sie (intern) von WebSphere Application Server authentifiziert. Der SPNEGO TAI ist für den Benutzer von WebSphere-Anwendungen nicht sichtbar. Nur der Webadministrator, der für eine ordnungsgemäße Konfiguration, Kapazität und Wartung der Webumgebung zuständig ist, kann den SPNEGO TAI sehen.
Microsoft Windows-Server mit Active Directory-Domäne und zugehörigem Kerberos-Key-Distribution-Center (KDC). Informationen über die unterstützten Microsoft Windows-Server finden Sie in den Systemvoraussetzungen für WebSphere Application Server Version 9.0 unter Windows.
- Eine Clientanwendung, z. B. ein Browser oder ein Microsoft-.NET-Client mit Unterstützung für das im IETF RFC 2478 definierte SPNEGO-Authentifizierungsverfahren. Beispiele für Browser sind Microsoft Internet Explorer ab Version 5.5 oder Mozilla Firefox Version 1.0. Jeder Browser muss für die Verwendung des SPNEGO-Mechanismus konfiguriert werden. Nähere Informationen zu dieser Konfiguration finden Sie im Artikel Client-Browser für die Verwendung von SPNEGO konfigurieren (nicht mehr unterstützt).
Der Handshake-Prozess für diese Anforderungen und Antworten ist in der folgenden Abbildung dargestellt.

- Kerberos-Konfigurationseigenschaften festlegen. Weitere Informationen finden Sie im Artikel Die Kerberos-Konfigurationsdatei.
- Angepasste Eigenschaften für SPNEGO TAI definieren und anpassen. Weitere Informationen finden Sie im Artikel Angepasste JVM-Konfigurationseigenschaften für SPNEGO TAI (veraltet).
- Filtereinstellungen für SPNEGO TAI anpassen. Nähere Informationen hierzu finden Sie im Artikel Angepasste JVM-Eigenschaften konfigurieren, HTTP-Anforderungen filtern und SPNEGO-TAI in WebSphere Application Server aktivieren (nicht mehr unterstützt).
- Angepasstes Anmeldemodul für die Zuordnung der Identität aus Active Directory zur Registry von WebSphere Application Server verwenden. Weitere Informationen finden Sie im Artikel Zuordnung von Clientbenutzer-IDs zu Serverbenutzer-IDs für SPNEGO.
- Angepasste JVM-Eigenschaften Java™ Virtual Machine). Nähere Informationen hierzu finden Sie im Artikel Angepasste JVM-Konfigurationseigenschaften für SPNEGO TAI.
Der Webadministrator kann auf die in der folgenden Abbildung dargestellten Sicherheitskomponenten für den SPNEGO TAI und die zugehörigen Konfigurationsdaten zugreifen.

- Das Webauthentifizierungsmodul und der LTPA-Mechanismus bilden das Plug-in-Laufzeitgerüst für Trust Association Interceptors (TAIs). Nähere Einzelheiten zum Konfigurieren des LTPA-Mechanismus für die Verwendung mit dem SPNEGO TAI finden Sie im Artikel LTPA-Verfahren konfigurieren.
- Der JGGS-Provider (Java Generic Security Service) ist im
Java SDK
(
jre/lib/ibmjgssprovider.jar
Stammverzeichnis_des_Anwendungsservers/java/endorsed/ibmjgssprovider.jar) enthalten und wird zum Anfordern des Kerberos-Sicherheitskontextes und der Berechtigungsnachweise für die Authentifizierung verwendet. IBM® JGSS 1.0 ist ein Java-GSSAPI-Gerüst (Generic Security Service Application Programming Interface) mit Kerberos Version 5 als zugrunde liegendem Standardsicherheitsmechanismus. GSSAPI ist eine genormte abstrakte Schnittstelle, unter der verschiedene Sicherheitsmechanismen integriert werden können, die auf Technologien mit privatem Schlüssel oder öffentlichem Schlüssel oder auf anderen Sicherheitstechnologien basieren. GSSAPI schirmt gesicherte Anwendungen von der Komplexität und den Besonderheiten der verschiedenen zugrunde liegenden Sicherheitsmechanismen ab. Mit GSSAPI können Identität und Nachrichtenursprung authentifiziert werden und die Integrität und Vertraulichkeit von Nachrichten gewährleistet werden. Nähere Informationen hierzu finden Sie im Artikel JGSS.
- Die Kerberos-Konfigurationseigenschaften (krb5.conf oder krb5.ini) und Kerberos-Chiffrierschlüssel
(in einer Kerberos-Chiffrierschlüsseldatei) werden für den Aufbau einer sicheren gegenseitigen Authentifizierung verwendet.
Der Kerberos Key Table Manager (Ktab) gehört zum JGSS. Mit ihm können Sie in einer lokalen Kerberos-Chiffrierschlüsseldatei gespeicherten Principal-Namen und Serviceschlüssel verwalten. Mit den in der Kerberos-Chiffrierschlüsseldatei aufgelisteten Paaren aus Principal-Name und Schlüssel können sich auf einem Host ausgeführte Services gegenüber dem Kerberos Key Distribution Center (KDC) authentifizieren. Ein Server kann Kerberos erst verwendet, wenn auf dem Host, der den Server ausführt, eine Kerberos-Chiffrierschlüsseldatei initialisiert wurde.
Im Artikel Mit dem Befehl ktab die Kerberos-Chiffrierschlüsseldatei verwalten sind die Kerberos-Konfigurationsanforderungen für den SPNEGO TAI genannt. Dieser Artikel erläutert auch die Verwendung von Ktab.
- Der SPNEGO-Provider stellt die Implementierung des SPNEGO-Authentifizierungsverfahrens in
/$WAS_HOME/java/jre/lib/ext/ibmspnego.jar
Stammverzeichnis_des_Anwendungsservers/java/ext/ibmspnego.jar bereit.
- Die angepassten Konfigurationseigenschaften steuern das Laufzeitverhalten des SPNEGO TAI. Konfigurationsoperationen werden in der Administrationskonsole oder mit Scriptfunktionen ausgeführt. Weitere Informationen zu diesen angepassten Konfigurationseigenschaften enthält der Artikel Angepasste JVM-Konfigurationseigenschaften für SPNEGO TAI (veraltet).
- Die angepassten JVM-Eigenschaften steuern die Diagnosetraceinformationen zur Fehlerbestimmung für den JGSS-Sicherheitsprovider und die Verwendung des Features für erneutes Laden von Eigenschaften. Diese angepassten Eigenschaften werden im Artikel Angepasste JVM-Konfigurationseigenschaften für SPNEGO TAI beschrieben.
Es wird eine integrierte SSO-Umgebung in Microsoft Windows-Servern unter Verwendung der Active Directory-Domäne erstellt.
- Die Kosten für die Verwaltung einer großen Anzahl von IDs und Kennwörtern sinken.
- Es wird eine sichere Übertragung von Sicherheitsberechtigungsnachweisen vom Web-Browser oder von Microsoft-.NET-Clients mit gegenseitiger Authentifizierung ermöglicht.
- Es besteht Interoperabilität mit Web-Services und Microsoft-.NET-Anwendungen, die die SPNEGO-Authentifizierung auf Transportebene verwenden.
- Browserendbenutzer
- Der Endbenutzer muss den Web-Browser oder die Microsoft-.NET-Anwendung für das Absetzen von HTTP-Anforderungen konfigurieren, die vom SPNEGO TAI verarbeitet werden.
- Webadministrator
- Der Webadministrator ist dafür verantwortlich, den SPNEGO TAI von WebSphere Application Server für die Beantwortung von HTTP-Anforderungen des Clients zu konfigurieren.
- Administrator von WebSphere Application Server
- Der Administrator von WebSphere Application Server ist dafür zuständig, WebSphere Application Server und den SPNEGO TAI für eine optimale Installation zu konfigurieren.