Single Sign-On für HTTP-Anforderungen über die SPNEGO-Webauthentifizierung erstellen
Das Erstellen von Single Sign-ons für HTTP-Anforderungen mit der SPNEGO-Webauthentifizierung (Simple and Protected GSS-API Negotiation Mechanism) für WebSphere Application Server erfordert ein Zusammenwirken mehrerer unterschiedlicher, aber zusammengehöriger Funktionen, deren Ausführung HTTP-Benutzer in die Lage versetzt, sich am Microsoft-Domänencontroller nur einmal anzumelden und zu authentifizieren und damit automatisch eine Authentifizierung von WebSphere Application Server zu erhalten.
Vorbereitende Schritte
In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion wurde in WebSphere Application Server Version 7.0 als veraltet gekennzeichnet. Stattdessen wird jetzt die SPNEGO-Webauthentifizierung genutzt, die folgende Verbesserungen bietet:
- Über die Administrationskonsole können Sie die SPNEGO-Webauthentifizierung und Filter in WebSphere Application Server konfigurieren und aktivieren.
- Das dynamische Neuladen von SPNEGO erfordert nicht mehr, dass WebSphere Application Server gestoppt und neu gestartet werden muss.
- Wenn die SPNEGO-Webauthentifizierung scheitert, kann auf eine Anwendungsanmeldemethode zurückgegriffen werden.
Sie können den SPNEGO TAI oder die SPNEGO-Webauthentifizierung aktivieren, jedoch nicht beide gleichzeitig.
Die Informationen im Artikel Single Sign-On für HTTP-Anforderungen mit SPNEGO-Webauthentifizierung werden Ihnen helfen, besser zu verstehen, was die SPNEGO-Webauthentifizierung ist und wie sie in dieser Version von WebSphere Application Server unterstützt wird.
Gehen Sie vor dem Starten dieser Task die folgende Prüfliste durch:
Ein Microsoft Windows-Server, auf dem der Active Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
Ein Microsoft Windows-Domänenmitglied (Client), z. B. ein Browser oder Microsoft-.NET-Client, das den in IETF RFC 2478 definierten SPNEGO-Authentifizierungsmechanismus unterstützt. Microsoft Internet Explorer Version 5.5 oder höher und Mozilla Firefox Version 1.0 erfüllen die Anforderungen für einen solchen Client.
Wichtig: Es sind ein aktiver Domänencontroller und mindestens eine Clientmaschine in dieser Domäne erforderlich. Die direkte Verwendung von SPNEGO über den Domänencontroller wird nicht unterstützt.- Das Domänenmitglied hat Benutzer, die sich an der Domäne anmelden können. Insbesondere muss eine
funktionsfähige Microsoft Windows Active Directory-Domäne
vorhanden sein, die Folgendes enthält:
- Domänencontroller
- Client-Workstation
- Benutzer, die sich an der Client-Workstation anmelden können
- Eine Serverplattform, auf der WebSphere Application Server ausgeführt wird und die Anwendungssicherheit aktiviert ist.
- Benutzer in Active Directory müssen über einen nativen Authentifizierungsmechanismus von WebSphere Application Server Zugriff auf geschützte Ressourcen von WebSphere Application Server haben.
- Der Domänencontroller und der Host von WebSphere Application Server sollten dieselbe Ortszeit verwenden.
- Stellen Sie sicher, dass die Uhren auf den Clients, Microsoft Active Directory und WebSphere Application Server mit einer Genauigkeit von fünf Minuten synchronisiert sind.
- Beachten Sie, dass Client-Browser für SPNEGO aktiviert sein müssen. Dies wird auf der Clientanwendungsmaschine ausgeführt (eine ausführliche Beschreibung finden Sie in Prozedur 4, "Clientanwendung auf der Clientanwendungsmaschine konfigurieren").
Informationen zu diesem Vorgang
Das Ziel dieser Maschinenanordnung besteht darin, den Benutzern einen erfolgreichen Zugriff auf Ressourcen von WebSphere Application Server zu ermöglichen, ohne dass sie sich erneut authentifizieren müssen, so dass Sie die Single-Sign-on-Funktionalität auf der Arbeitsoberfläche von Microsoft Windows erhalten.
- Ein Microsoft Windows-Server, auf dem der Active Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
- Ein Microsoft Windows-Domänenmitglied (Clientanwendung), z. B. ein Browser oder ein Microsoft .NET-Client.
- Eine Serverplattform, auf der WebSphere Application Server ausgeführt wird.
Führen Sie die folgenden Schritte aus, um Single Sign-On für HTTP-Anforderungen über die SPNEGO-Webauthentifizierung zu erstellen: