Single Sign-on für die Authentifizierung mit LTPA-Cookies
Mit der SSO-Unterstützung müssen Webbenutzer beim Zugriff auf Ressourcen von WebSphere Application Server (wie HTML, JSP-Dateien, Servlets, Enterprise-Beans), Ressourcen von Lotus Domino (wie Dokumente in einer Domino-Datenbank) oder Ressourcen in mehreren WAS-Domänen nur noch einmal authentifiziert werden.
Anwendungsserver, die auf mehrere Knoten und Zellen verteilt sind, können mit dem Protokoll LTPA (Lightweight Third Party Authentication) sicher kommunizieren. LTPA ist für Umgebungen mit verteilten, mehrfachen Anwendungsservern und Maschinen gedacht. LTPA kann die Sicherheit in einer verteilten Umgebung durch Verschlüsselung unterstützen. Mit dieser Unterstützung kann LTPA Authentifizierungsdaten verschlüsseln, digital unterzeichnen, sicher übertragen und später entschlüsseln und die Signatur überprüfen.
Außerdem wird das Feature Single Sign-On (SSO) unterstützt. Durch die Verwendung dieses Features muss ein Benutzer nur noch einmal in der DNS-Domäne (Domain Name System) authentifiziert werden und kann dann ohne erneute Abfrage auf Ressourcen in anderen WAS-Zellen zugreifen. Webbenutzer melden sich einmal bei einem WebSphere Application Server oder einem Domino-Server an. Für diese Art der Authentifizierung werden die WebSphere Application Server und Domino-Server so konfiguriert, dass sie dieselben Authentifizierungsdaten verwenden.
Ohne erneute Anmeldung können die Benutzer dann auf andere WebSphere Application Server oder Domino-Server in derselben DNS-Domäne zugreifen, die SSO ebenfalls unterstützen. Sie können SSO zwischen WebSphere Application Servern aktivieren, indem Sie SSO für WebSphere Application Server konfigurieren. Wenn Sie SSO zwischen WebSphere Application Servern und Domino-Servern aktivieren möchten, müssen Sie SSO für WebSphere Application Server und für Domino konfigurieren.
Vorbedingungen und Rahmenbedingungen
- Alle Server müssen als Teil derselben DNS-Domäne konfiguriert sein. Bei den Realmnamen für die Systeme in der DNS-Domäne wird zwischen
der Groß-/Kleinschreibung unterschieden. Die Namen müssen exakt übereinstimmen. Wenn die DNS-Domäne mit meinefirma.com angegeben ist, gilt SSO für alle
Domino-Server oder
WebSphere Application
Server auf einem Host, der zur Domäne
meinfirma.com gehört, z. B. a.meinefirma.com und b.meinefirma.com.Achtung: Domänenübergreifendes SSO wird nicht unterstützt, zum Beispiel bei z.AAAcompany.com und w.BBBcompany.com, die unterschiedliche DNS-Domänen haben.
- Alle Server müssen dieselbe Registry gemeinsam benutzen.
Domino-Server unterstützen keine eigenständigen angepassten Registrys, aber Sie können eine von Domino unterstützte Registry als eigenständige angepasste Registry in WebSphere Application Server verwenden.Diese Registry kann ein unterstützter LDAP-Verzeichnisserver oder, falls SSO zwischen zwei WebSphere Application Servern konfiguriert ist, eine eigenständige angepasste Registry sein.
Sie können ein Domino-Verzeichnis, das für LDAP-Zugriff konfiguriert ist, oder ein anderes LDAP-Verzeichnis als Registry verwenden. Das LDAP-Verzeichnisprodukt muss WebSphere Application Server unterstützen. Unterstützte Produkte enthalten Domino- und LDAP-Server, z. B. IBM® Tivoli Directory Server. Die SSO-Konfiguration bleibt gleich, egal ob Sie sich für eine LDAP-Registry oder eigenständige angepasste Registry entscheiden. Der Unterschied liegt in der Konfiguration der Registry.
- Alle Benutzer müssen in einem einzigen LDAP-Verzeichnis definiert sein. Die Verwendung mehrerer Domino-Dokumente für Verzeichnisunterstützung für den Zugriff auf mehrere Verzeichnisse wird ebenfalls nicht unterstützt.
- Die Benutzer müssen in ihren Browsern HTTP-Cookies aktivieren, da die durch den Server generierten Authentifizierungsdaten an den Browser in einem Cookie transportiert werden. Das Cookie wird dann verwendet, um die Authentifizierungsdaten des Benutzers an weitere Server zu übertragen, sodass die Benutzer ihre Authentifizierungsdaten nicht bei jeder Anforderung an einen anderen Server eingeben müssen.
- Für einen Domino-Server:
- Domino Release 6.5.4 für iSeries und andere Plattformen wird unterstützt.
- Ein Lotus Notes Client Release 5.0.5 oder höher ist für die Konfiguration des Domino-Servers für SSO erforderlich.
- Authentifizierungsdaten können über mehrere Domino-Domänen hinweg gemeinsam genutzt werden.
- Für WebSphere Application Server:
- WebSphere Application Server Version 3.5 oder höher wird für alle Plattformen unterstützt.
- Jeder von WebSphere Application Server unterstützte HTTP-Web-Server kann verwendet werden.
- Authentifizierungsdaten können von mehreren Administrationsdomänen des Produkts gemeinsam verwendet werden.
- Die Basisauthentifizierung (Benutzer-ID und
Kennwort) mithilfe des Basisanmeldeverfahrens sowie des
formularbasierten Anmeldeverfahrens wird unterstützt. Anmerkung: Anmeldeformulare für Webanwendungen erfordern, dass SSO aktiviert ist.
- Standardmäßig unterscheidet WebSphere Application Server bei der Berechtigung einen Vergleich mit Unterscheidung der Groß-/Kleinschreibung. Dieser Vergleich impliziert, dass ein von Domino authentifizierter Benutzer dem Eintrag in der WAS-Berechtigungstabelle exakt (einschließlich Basis-DN) entspricht. Wenn die Groß-/Kleinschreibung bei der Berechtigung nicht berücksichtigt werden soll, aktivieren Sie die Eigenschaft Groß-/Kleinschreibung ignorieren in den Einstellungen der LDAP-Benutzerregistry.