Single Sign-On für HTTP-Anforderungen über SPNEGO-TAI erstellen (veraltet)
Wenn Sie Single Sign-On (SSO) für HTTP-Anforderungen über den SPNEGO-TAI (Simple and Protected GSS-API Negotiation Mechanism, Trust-Association-Interceptor) für WebSphere Application Server erstellen, müssen bestimmte einzelne und dennoch zusammengehörige Funktionen ausgeführt werden, die den HTTP-Benutzern ermöglichen, sich ein einziges Mal an ihrem Desktop anzumelden und zu authentifizieren und daraufhin eine automatische Authentifizierung über WebSphere Application Server zu erzielen.
Vorbereitende Schritte

In WebSphere Application Server Version 6.1 wurde ein TAI eingeführt, der SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) nutzt, um HTTP-Anforderungen für geschützte Ressourcen sicher auszuhandeln und zu authentifizieren. Diese Funktion wird in WebSphere Application Server 7.0 nicht weiter unterstützt. Die SPNEGO-Webauthentifizierung wird jetzt genutzt, um SPNEGO-Filter dynamisch neu zu laden und den Rückgriff auf die Methode der Anwendungsanmeldung zu ermöglichen.
depfeatGehen Sie vor dem Starten dieser Task die folgende Prüfliste durch:
Ein Microsoft Windows-Server, auf dem der Active-Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
Ein Microsoft Windows-Domänenmitglied (Client), z. B. ein Browser oder Microsoft-.NET-Client, das den in IETF RFC 2478 definierten SPNEGO-Authentifizierungsmechanismus unterstützt. Microsoft Internet Explorer Version 5.5 oder höher und Mozilla Firefox Version 1.0 erfüllen die Anforderungen für einen solchen Client.
Wichtig: Es sind ein aktiver Domänencontroller und mindestens eine Clientmaschine in dieser Domäne erforderlich. Die direkte Verwendung von SPNEGO über den Domänencontroller wird nicht unterstützt.- Das Domänenmitglied hat Benutzer, die sich an der Domäne anmelden können.
Insbesondere muss eine
funktionsfähige Microsoft Windows Active Directory-Domäne vorhanden sein, die Folgendes enthält:
- Domänencontroller
- Clientworkstation
- Benutzer, die sich an der Clientworkstation anmelden können
- Eine Serverplattform, auf der WebSphere Application Server ausgeführt wird und die Anwendungssicherheit aktiviert ist.
- Benutzer in Active Directory müssen über einen nativen Authentifizierungsmechanismus von WebSphere Application Server Zugriff auf geschützte Ressourcen von WebSphere Application Server haben.
- Der Domänencontroller und der Host von WebSphere Application Server sollten dieselbe Ortszeit verwenden.
- Stellen Sie sicher, dass die Uhren auf den Clients, Microsoft Active Directory und WebSphere Application Server mit einer Genauigkeit von fünf Minuten synchronisiert sind.
- In den Client-Browsern ist SPNEGO aktiviert. Diese Operation wird auf der Maschine mit der Clientanwendung durchgeführt. Einzelheiten dazu werden in Schritt 2 dieser Task erläutert.
Informationen zu diesem Vorgang
Mit dieser Maschinenanordnung soll erreicht werden, dass Benutzer erfolgreich auf Ressourcen von WebSphere Application Server zugreifen können, ohne sich erneut authentifizieren zu müssen. Auf diese Weise wird die SSO-Funktionalität für den Microsoft Windows-Desktop erreicht.
- Ein Microsoft Windows-Server, auf dem der Active-Directory-Domänencontroller und das zugehörige Kerberos-Key-Distribution-Center (KDC) ausgeführt werden.
- Ein Microsoft Windows-Domänenmitglied (Clientanwendung), z. B. ein Browser oder ein Microsoft .NET-Client.
- Eine Serverplattform, auf der WebSphere Application Server ausgeführt wird.
Führen Sie die folgenden Schritte auf den angegebenen Maschinen aus, um SSO für HTTP-Anforderungen mit SPNEGO zu erstellen.