SSO mit Trust Association Interceptor ++ konfigurieren

Mit dieser Task können Sie SSO (Single Sign-On) mit Trust Association Interceptor ++ aktivieren. Sie müssen eine Trust-Association konfigurieren und die Eigenschaften für den Interceptor erstellen.

Vorbereitende Schritte

Sie können zwar auch Simple WebSphere Authentication Mechanism (SWAM) verwenden (wählen Sie in der Anzeige "Authentifizierungsverfahren und Verfallszeit" die Option SWAM verwenden - keine authentifizierte Kommunikation zwischen Servern aus), aber SSO setzt LTPA als konfiguriertes Authentifizierungsverfahren voraus.

LTPA (Lightweight Third Party Authentication) ist das Standardauthentifizierungsverfahren für WebSphere Application Server. Klicken Sie auf Sicherheit > Globale Sicherheit > Authentifizierungsverfahren und Verfallszeit, wenn Sie LTPA vor SSO (Single Sign-On) konfigurieren möchten.

Führen Sie die folgenden Schritte aus, um die Trust-Association für SSO zu konfigurieren:

Vorgehensweise

  1. Klicken Sie in der Administrationskonsole für WebSphere Application Server auf Sicherheit Globale Sicherheit.
  2. Klicken Sie unter "Websicherheit" auf Trust-Association.
  3. Klicken Sie auf Trust-Association aktivieren.
  4. Klicken Sie auf Interceptor.
  5. Klicken Sie auf com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus, um einen WebSEAL-Interceptor zu verwenden. Dieser Interceptor ist einer von WebSEAL-Interceptor, die Ihnen zur Verwendung zur Verfügung gestellt werden. Wenn Sie diesen Interceptor verwenden möchten, müssen Sie die im nächsten Schritt beschriebenen Eigenschaften angeben.
    Achtung: WebSphere Application versucht, beide Interceptor zu initialisieren, selbst wenn Sie nur Eigenschaften für den Interceptor com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus angeben. Deshalb können die Nachrichten AWXRB0008E und SECJ0384E während der Initialisierung angezeigt werden, die angeben, dass der von Ihnen nicht ausgewählte Interceptor nicht initialisiert werden konnte. Dies ist der ganz normale Verarbeitungsablauf und hat keine Auswirkungen auf die Initialisierung des ausgewählten Interceptor. Wenn Sie die Anzeige der Nachrichten AWXRB0008E und SECJ0384E verhindern möchten, können Sie den Interceptor, den Sie nicht verwenden möchten, vor Beginn der Initialisierung löschen. Sie können diesen Interceptor später wieder hinzufügen, wenn sich Ihre Umgebung ändert.
  6. Klicken Sie auf Angepasste Eigenschaften.
  7. Klicken Sie auf Neu, um die Eigenschaftsname/Eigenschaftswert-Paare einzugeben. Vergewissern Sie sich, dass die folgenden Parameter definiert sind:
    Tabelle 1. Angepasste Eigenschaft.

    In dieser Tabelle sind die angepassten Eigenschaften für TAI beschrieben.

    Option Beschreibung
    com.ibm.websphere.security.
    webseal.checkViaHeader
    Der TAI kann so konfiguriert werden, dass der Header "via" ignoriert wird, wenn die Anerkennung einer Anforderung geprüft wird. Setzen Sie diese Eigenschaft auf false, wenn keiner der Hosts im Header "via" anerkannt werden muss. Wenn Sie die Eigenschaft auf false setzen, müssen die Eigenschaften für anerkannte Hostnamen und Host-Ports nicht definiert werden. Deshalb ist "com.ibm.websphere.security.webseal.loginId" die einzige verbindliche Eigenschaft, wenn die Eigenschaft für die Überprüfung des Headers "via" auf false gesetzt ist.

    Der Standardwert für die Eigenschaft ist false. Wenn Sie das TAM-Plug-in (Tivoli Access Manager) für Web-Server verwenden, muss diese Eigenschaft auf false gesetzt werden.

    Anmerkung: Der Header "via" ist Teil des Standard-HTTP-Headers, der die Servernamen aufzeichnet, die eine Anforderung durchläuft.
    com.ibm.websphere.security.
    webseal.loginId
    Der anerkannte Benutzer WebSEAL, der gemäß den Anleitungen im Artikel Ein vertrauenswürdiges Benutzerkonto in Tivoli Access Manager erstellen erstellt wurde. Das Format des Benutzernamens ist der Kurzname. Diese Eigenschaft ist verbindlich. Wenn die Eigenschaft nicht in WebSphere Application Server gesetzt wird, schlägt die TAI-Initialisierung fehl.
    com.ibm.websphere.security.
    webseal.id
    Eine Liste mit Headern, die durch Kommas voneinander getrennt werden und die in der Anforderung enthalten ist. Sollten nicht alle konfigurierten Header in der Anforderung enthalten sein, kann kein Vertrauen hergestellt werden. Der Standardwert für die Eigenschaft "ID" ist iv-creds. Alle anderen Werte, die in WebSphere Application Server gesetzt sind, werden der Liste zusammen mit iv-creds, getrennt durch Kommas, hinzugefügt.
    com.ibm.websphere.security.
    webseal.hostnames
    Setzen Sie diese Eigenschaft nicht, wenn Sie das TAM-Plug-in (Tivoli Access Manager) für Web-Server verwenden. Die Eigenschaft gibt die Hostnamen (unter Beachtung der Groß-/Kleinschreibung) an, die anerkannt und im Anforderungsheader erwartet werden. Anforderungen, die von nicht aufgelisteten Hosts empfangen werden, werden möglicherweise nicht anerkannt. Wenn die Eigenschaft "checkViaHeader" nicht oder auf "false" gesetzt ist, hat die Eigenschaft für die Namen der anerkannten Hosts keine Auswirkung. Sollte die Eigenschaft "checkViaHeader" auf true und die Eigenschaft für die Namen der anerkannten Hosts nicht gesetzt sein, schlägt die TAI-Initialisierung fehl.
    com.ibm.websphere.security.
    webseal.ports
    Legen Sie diese Eigenschaft nicht fest, wenn Sie das TAM-Plug-in (Tivoli Access Manager) für Web-Server verwenden. Diese Eigenschaft gibt eine Liste mit anerkannten Host-Ports an, in der Kommas als Trennzeichen verwendet werden. Anforderungen, die von nicht aufgelisteten Ports empfangen werden, werden möglicherweise nicht anerkannt. Wenn die Eigenschaft "checkViaHeader" nicht oder auf false gesetzt ist, hat diese Eigenschaft keine Auswirkung. Sollte die Eigenschaft "checkViaHeader" auf true und die Eigenschaft für die anerkannten Ports nicht in WebSphere Application Server gesetzt sein, schlägt die TAI-Initialisierung fehl.
    com.ibm.websphere.security.
    webseal.viaDepth
    Eine positive ganze Zahl, die die Anzahl der im Header "via" enthaltenen und zu überprüfenden Quellenhosts angibt. Standardmäßig wird jeder Host im Header "via" geprüft. Wenn ein Host nicht anerkannt wird, kann kein Vertrauen hergestellt werden. Die Eigenschaft "viaDepth" wird verwendet, wenn nicht alle Hosts im Header "via" anerkannt sein müssen. Die Einstellung gibt, beginnend beim rechten Ende des Headers, die Anzahl der Hosts an, die anerkannt sein müssen.

    Sehen Sie sich als Beispiel den folgenden Header an:

    Via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001

    Wenn die Eigenschaft "viaDepth" nicht oder auf 2 oder 0 gesetzt ist und eine Anforderung mit dem früheren Header "via" empfangen wird, müssen webseal1:7002 und webseal2:7001 anerkannt sein. Die folgende Konfiguration ist gültig:

    com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
    com.ibm.websphere.security.webseal.ports = 7002,7001

    Wenn die Eigenschaft "viaDepth" auf 1 gesetzt ist und eine frühere Anforderung empfangen wird, muss nur der letzte Host im Header "via" anerkannt sein. Die folgende Konfiguration ist gültig:

    com.ibm.websphere.security.webseal.hostnames = webseal2 
    com.ibm.websphere.security.webseal.ports = 7001

    Die Eigenschaft "viaDepth" hat den Standardwert 0, d. h., alle Hosts im Header "via" werden überprüft.

    com.ibm.websphere.security.
    webseal.ssoPwdExpiry
    Wenn für eine Anforderung eine Vertrauensbeziehung etabliert ist, wird das SSO-Benutzerkennwort zwischengespeichert. Damit wird erreicht, dass der TAI den SSO-Benutzer für nachfolgende Anforderungen nicht erneut mit Tivoli Access Manager authentifizieren muss. Sie können das Cachezeitlimit ändern, indem Sie die Eigenschaft für die Verfallszeit des SSO-Kennworts auf die erforderliche Zeit (in Sekunden) einstellen. Wenn die Eigenschaft für die Verfallszeit des Kennworts auf 0 eingestellt wird, verbleibt das zwischengespeicherte Kennwort für unbegrenzte Zeit im Cache. Der Standardwert für diese Eigenschaft ist 600.
    com.ibm.websphere.security.
    webseal.ignoreProxy
    Mit dieser Eigenschaft kann der TAI angewiesen werden, Proxy-Server als anerkannte Hosts zu ignorieren. Wenn Sie diese Eigenschaft auf true setzen, wird anhand des Kommentarfeldes im Eintrag "hosts" des Headers "via" geprüft, ob der Host ein Proxy-Server ist. Beachten Sie bitte, dass nicht alle Proxy-Server Kommentare in den Header "via" einfügen und damit anzeigen, dass sie Proxy-Server sind. Der Standardwert für die Eigenschaft "ignoreProxy" ist false. Wenn die Eigenschaft "checkViaHeader" auf false gesetzt ist, hat die Eigenschaft "ignoreProxy" keine Auswirkung auf das Herstellen einer Vertrauensbasis.
    com.ibm.websphere.security.
    webseal.configURL

    [AIX Solaris HP-UX Linux Windows][z/OS]Damit der TAI das Vertrauen für eine Anforderung herstellen kann, setzt er voraus, dass "SvrSslCfg" für die JVM von WebSphere Application Server ausgeführt und eine Eigenschaftendatei erstellt wurde. Sollte er diese Eigenschaftendatei nicht unter dem Standard-URL file://java.home/PdPerm.properties finden, müssen Sie mit der Eigenschaft "configURL" den korrekten URL für die Eigenschaftendatei angeben. Falls diese Eigenschaft nicht gesetzt ist und die von "SvrSslCfg" generierte Eigenschaftendatei nicht an der Standardposition gespeichert ist, schlägt die TAI-Initialisierung fehl. Der Standardwert für die Eigenschaft "configURL" lautet wie folgt: file://$WAS_HOME/java/jre/PdPerm.properties.

    [IBM i]Setzen Sie diese Eigenschaft auf Profilstammverzeichnis/etc/pd/PolicyDirector/PDPerm.properties. Damit TAI das Vertrauen für eine Anforderung herstellen kann, muss eine Datei PDPerm.properties auf jedem Knoten in der Zelle vorhanden sein. Außerdem muss der korrekte URL der Eigenschaftendatei in der Konfigurationseigenschaft "URL" gesetzt sein. Wenn diese Eigenschaft nicht gesetzt ist oder die Datei PDPerm.properties nicht an der angegebenen Position gespeichert ist, schlägt die TAI-Initialisierung fehl. Die Datei PDPerm.properties ist Teil der Konfiguration von Tivoli Access Manager für einen Knoten. Zum Erstellen der Konfiguration von Tivoli Access Manager führen Sie das Script pdjrtecfg und anschließend das Script svrsslcfg für jeden Knoten in der Zelle aus. Die Datei PDPerm.properties wird im Verzeichnis Profilstammverzeichnis/etc/pd/PolicyDirector/ erstellt.

  8. Klicken Sie auf OK.
  9. Speichern Sie die Konfiguration, und melden Sie sich ab.
  10. Starten Sie WebSphere Application Server erneut.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ssowsstep4TAIplusplus
Dateiname:tsec_ssowsstep4TAIplusplus.html