SSO-Einstellungen
Verwenden Sie diese Seite, um die Konfigurationswerte für SSO (Single Sign-On) festzulegen.
- Klicken Sie auf .
- Klicken Sie unter Authentifizierung auf .
Das Kontrollkästchen "Sicherheitscookies auf HTTPOnly setzen, um Cross-Site-Scripting-Attacken zu verhindern" wurde der Seite mit den SSO-Einstellungen für dieses Release hinzugefügt. Das Attribut "HttpOnly" ist ein Browserattribut, das erstellt wird, um zu verhindern, dass clientseitige Anwendungen (wie z. B. Java™-Scripts) auf Cookies zugreifen, um Schwachstellen aufgrund von Cross-Site Scripting zu verhindern. Das Attribut legt fest, dass LTPA- und WASReqURL-Cookies das Feld "HTTPOnly" enthalten.
Aktiviert
Gibt an, dass die SSO-Funktion aktiviert ist.
Für Webanwendungen, die Seiten für formularbasierte Anmeldung (Java EE FormLogin) verwenden, wie z. B. die Administrationskonsole, muss SSO (Single Sign-On) aktiviert werden. Sie können SSO nur für bestimmte erweiterte Konfigurationen inaktivieren, in denen LTPA-SSO-Cookies nicht erforderlich sind.
Information | Wert |
---|---|
Datentyp | Boolean |
Standardeinstellung | Aktiviert |
Einstellmöglichkeiten | Aktiviert oder Inaktiviert |
SSL erforderlich
Diese Option gibt an, dass SSO nur aktiviert wird, wenn Anforderungen mit SSL (Secure Sockets Layer) über HTTPS-Verbindungen durchgeführt werden. Bei Aktivierung dieser Eigenschaft wird die Sicherheit automatisch aktiviert.
Information | Wert |
---|---|
Datentyp | Boolean |
Standardeinstellung | Inaktiviert |
Einstellmöglichkeiten | Aktiviert oder Inaktiviert |
Domänenname
Gibt den Domänennamen (z. B. .ibm.com) für alle SSO-Hosts an.
Der Anwendungsserver verwendet nach dem ersten Punkt alle Informationen von links nach rechts für die Domänennamen. Wenn dieses Feld nicht definiert ist, verwendet der Web-Browser standardmäßig den Namen des Hosts, auf dem die Webanwendung ausgeführt wird, als Domänennamen. Außerdem ist Single Sign-On auf den Anwendungsserverhost beschränkt, und funktioniert nicht für andere Anwendungsserverhosts in der Domäne.
Sie können mehrere Domänen mit Semikolons (;), Leerzeichen ( ), Kommas (,) oder Pipezeichen (|) als Trennzeichen angeben. Jede Domäne wird mit dem Hostnamen in der HTTP-Anforderung verglichen, bis eine Übereinstimmung gefunden wird. Wenn Sie beispielsweise "ibm.com;austin.ibm.com" angeben und die erste Übereinstimmung in der Domäne "ibm.com" gefunden wird, führt der Anwendungsserver keinen weiteren Abgleich in der Domäne "austin.ibm.com" durch. Wenn jedoch weder in "ibm.com" noch in "austin.ibm.com" eine Übereinstimmung gefunden wird, legt der Anwendungsserver keine Domäne für das LtpaToken-Cookie fest.

- Der Sitzungsmanager verwendet einen sicheren Generator für die Generierung von Sitzungs-IDs. Die Sitzungs-ID wird in das Cookie geschrieben, wenn das Cookie in der Methode "setCookie" erstellt wird. Der Sitzungsmanager stellt das LtpaToken nicht auf Cookies ein.
- Wenn Sie mehrere Domänennamen im Feld "Domänenname" verwenden, bedeutet dies nicht unbedingt, dass Sie während einer einzelnen Sitzung verschiedene Domänennamen verwenden können. Wenn ein Domänenname beispielsweise den Wert "ibm.com;lotus.com" enthält, können Sie nur auf einen Server mit einer erfolgreichen SSO-Anmeldung auf www.ibm.com oder www.lotus.com zugreifen, jedoch nicht auf beide, weil der Browser steuert, ob das LTPA-Cookie gesendet wird oder nicht.
Wenn Sie den UseDomainFromURL-Wert angeben, setzt der Anwendungsserver den SSO-Domänennamen auf den Wert für die Domäne des Hosts, der in der Webadresse verwendet wird. Geht beispielsweise eine HTTP-Anforderung von server1.raleigh.ibm.com ein, setzt der Anwendungsserver den Wert für den SSO-Domänennamen auf raleigh.ibm.com.
Information | Wert |
---|---|
Datentyp | String |
Interoperabilitätsmodus
Gibt an, dass für die Unterstützung von Servern mit früheren Versionen ein interoperables Cookie an den Browser gesendet wird.
In WebSphere Application Server Version 6 und höher wird ein neues Cookieformat für die Weitergabe von Sicherheitsattributen benötigt. Wenn das Flag für den Interoperabilitätsmodus gesetzt ist, kann der Server maximal zwei SSO-Cookies an den Browser zurücksenden. In einigen Fällen sendet der Server einfach nur das kompatible SSO-Cookie.
Weitergabe der Sicherheitseinstellungen für eingehende Webanforderungen
Wenn die Weitergabe von Sicherheitsattributen für eingehende Webanforderungen aktiviert ist, werden Sicherheitsattribute an die Front-End-Anwendungsserver weitergegeben. Ist diese Option inaktiviert, wird das SSO-Token (Single Sign-On) für die Anmeldung und das erneute Erstellen des Subjekts aus der Benutzerregistry verwendet.
Wenn der Anwendungsserver einem Cluster angehört und der Cluster mit einer DRS-Domäne konfiguriert ist, wird die Weitergabe durchgeführt. Falls der Datenreplikationsservice nicht konfiguriert ist, enthält das SSO-Token die Informationen zum Ursprungsserver.
Mit diesen Informationen kann der Empfangsserver einen MBean-Aufruf an den Ursprungsserver absetzen, um die ursprünglich serialisierten Sicherheitsattribute abzurufen.
Sicherheitscookies auf HTTPOnly setzen, um Cross-Site-Scripting-Attacken zu verhindern
Das Attribut "HttpOnly" ist ein Browserattribut, das erstellt wird, um zu verhindern, dass clientseitige Anwendungen (wie z. B. Java-Scripts) auf Cookies zugreifen, um Schwachstellen aufgrund von Cross-Site Scripting zu verhindern. Das Attribut legt fest, dass LTPA- und WASReqURL-Cookies das Feld "HTTPOnly" enthalten.
Für Sitzungscookies sehen Sie sich die Sitzungseinstellungen für Server, Anwendungen und Webmodule an.
Information | Wert |
---|---|
Datentyp | Boolean |
Standardeinstellung | Aktiviert |
Einstellmöglichkeiten | Aktiviert oder Inaktiviert |
Name des LTPA-V2-Cookies
Verwenden Sie dieses Feld, um die neuen angepassten Eigenschaften "com.ibm.websphere.security.customLTPACookieName" und "com.ibm.websphere.security.customSSOCookieName" zu setzen.
Die angepasste Eigenschaft "com.ibm.websphere.security.customLTPACookieName" wird verwendet, um den Namen der Cookies anzupassen, die für LTPA-Token (Lightweight Third Party Authentication) verwendet werden.
Die Eigenschaft "com.ibm.websphere.security.customSSOCookieName" wird verwendet, um den Namen der Cookies anzupassen, die für LTPA2-Token (Lightweight Third Party Authentication Version 2) verwendet werden.
Weitere Informationen zu den einzelnen Eigenschaften finden Sie unter Angepasste Sicherheitseigenschaften.