Configuración del inicio de sesión único utilizando el interceptor de asociación de confianza ++

Realice esta tarea para habilitar el inicio de sesión único utilizando el interceptor de asociación de confianza ++. Los pasos implican la configuración de asociación de confianza y la creación de propiedades de interceptor.

Antes de empezar

Aunque pueda utilizar el mecanismo SWAM (Simple WebSphere Authentication Mechanism) seleccionando la opción Utilizar SWAM-comunicación no autenticada entre servidores en el panel Mecanismos de autenticación y caducidad, el inicio de sesión único (SSO) requiere LTPA como mecanismo de autenticación configurado.

LTPA (Lightweight Third Party Authentication) es el mecanismo de autenticación predeterminado de WebSphere Application Server. Puede configurar LPTA antes de configurar el inicio de sesión único; para ello, pulse Seguridad > Seguridad global > Mecanismos de autenticación y caducidad.

Para establecer la asociación de confianza para el inicio de sesión único, efectúe los siguientes pasos:

Procedimiento

  1. En la consola administrativa de WebSphere Application Server, pulse Seguridad Seguridad global.
  2. En Seguridad Web, pulse Asociación de confianza.
  3. Pulse Habilitar asociación de confianza.
  4. Pulse Interceptores.
  5. Pulse com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus para utilizar un interceptor WebSEAL. Este interceptor es uno de los interceptores WebSEAL que se suministran para que los utilice. Puede seleccionar usar este interceptor suministrando las propiedades tal como se describe en el siguiente paso.
    Atención: WebSphere Application Server intenta inicializar los dos interceptores incluso si sólo se han proporcionado propiedades para el interceptor com.ibm.ws.security.web.TAMTrustAssociationInterceptorPlus. Como resultado, pueden aparecer los mensajes AWXRB0008E y SECJ0384E durante la inicialización para indicar que el interceptor que no se ha seleccionado no se ha podido inicializar. Esto es un proceso normal y no afecta a la inicialización del interceptor que ha seleccionado. Para impedir la visualización de los mensajes AWXRB0008E y SECJ0384E, puede suprimir el interceptor que no desee utilizar antes de empezar la inicialización. Si el entorno cambia, podrá volver a añadir ese interceptor más adelante.
  6. Pulse Propiedades personalizadas.
  7. Pulse Nueva para especificar los pares de nombre y valor de la propiedad. Asegúrese de que estén establecidos los siguientes parámetros.
    Tabla 1. Propiedades personalizadas.

    En esta tabla se describen las propiedades personalizadas de TAI.

    Opción Descripción
    com.ibm.websphere.security.
    webseal.checkViaHeader
    Puede configurar TAI de forma que la cabecera via pueda ignorarse cuando se valide la confianza de una petición. Establezca esta propiedad en false si no es necesario confiar en ninguno de los hosts de la cabecera via. Cuando se establece en false no es necesario establecer los nombres de host y los puertos de host de confianza. La única propiedad obligatoria que se debe comprobar cuando la cabecera via es false es com.ibm.websphere.security.webseal.loginId.

    El valor por omisión de la propiedad de comprobación mediante la cabecera via es false. Si utiliza el plug-in de Tivoli Access Manager para servidores web, establezca esta propiedad en false.

    Nota: La cabecera via es parte de la cabecera HTTP estándar que registra los nombres de servidor por los que ha pasado la solicitud.
    com.ibm.websphere.security.
    webseal.loginId
    El usuario de confianza de WebSEAL tal como se ha creado en Creación de una cuenta de usuario de confianza en Tivoli Access Manager El formato del nombre de usuario es la representación del nombre abreviado. Esta propiedad es obligatoria. Si no se establece en WebSphere Application Server, la inicialización de TAI será anómala.
    com.ibm.websphere.security.
    webseal.id
    Lista de cabeceras separada por comas que existe en la solicitud. Si no existen todas las cabeceras configuradas en la solicitud, no se puede establecer la confianza. El valor por omisión para la propiedad ID es iv-creds. Cualquier otro valor establecido en WebSphere Application Server se añade a la lista junto a iv-creds, separados por comas.
    com.ibm.websphere.security.
    webseal.hostnames
    No establezca esta propiedad si utiliza el plug-in de Tivoli Access Manager para servidores Web. La propiedad especifica que los nombres de host (sensibles a las mayúsculas y minúsculas) que son de confianza y son los previstos en la cabecera de la solicitud. Las solicitudes que se reciben de hosts no incluidos en la lista pueden no ser de confianza. Si no se establece la propiedad checkViaHeader o ésta se establece en false, la propiedad de nombres de host de confianza no tiene ninguna influencia. Si la propiedad checkViaHeader se establece en true, y la propiedad de nombres de host de confianza no se establece, se produce un error en la inicialización de TAI.
    com.ibm.websphere.security.
    webseal.ports
    No establezca esta propiedad si utiliza el plug-in de Tivoli Access Manager para servidores web. Esta propiedad es una lista separada por comas de puertos de host de confianza. Las solicitudes que se reciben de puertos no incluidos en la lista pueden no ser de confianza. Si la propiedad checkViaHeader no se establece, o se establece en false, esta propiedad no tiene ninguna influencia. Si la propiedad checkViaHeader se establece en true, y la propiedad de puertos de host de confianza no se establece en WebSphere Application Server, se produce un error en la inicialización de TAI.
    com.ibm.websphere.security.
    webseal.viaDepth
    Entero positivo que especifica el número de hosts de origen en la cabecera via que debe comprobarse si son de confianza. De manera predeterminada, se comprueban todos los hosts de una cabecera via y, si alguno de ellos no es de confianza, no se establece la confianza. La propiedad viaDepth sólo se utiliza cuando algunos de los hosts en la cabecera via deben ser de confianza. El valor indica el número de hosts, empezando por el extremo derecho de la cabecera, que es necesario que sean de confianza.

    Por ejemplo, observe el ejemplo siguiente:

    Via: HTTP/1.1 webseal1:7002, 1.1 webseal2:7001

    Si la propiedad viaDepth no está establecida o está establecida en 2 o en 0, y se recibe una solicitud con la cabecera via anterior, será necesario que se establezca la confianza de webseal1:7002 y webseal2:7001. Se aplica la configuración siguiente:

    com.ibm.websphere.security.webseal.hostnames = webseal1,webseal2
    com.ibm.websphere.security.webseal.ports = 7002,7001

    Si la propiedad de profundidad via se establece en 1, y se recibe la solicitud anterior, sólo es necesario establecer la confianza del último host de la cabecera via. Se aplica la configuración siguiente:

    com.ibm.websphere.security.webseal.hostnames = webseal2 
    com.ibm.websphere.security.webseal.ports = 7001

    La propiedad viaDepth está establecida en 0 por omisión, lo que significa que se comprueba si son de confianza todos los hosts de la cabecera VIA.

    com.ibm.websphere.security.
    webseal.ssoPwdExpiry
    Después de que se establezca la confianza para una solicitud, la contraseña de usuario del inicio de sesión único se guarda en la memoria caché, así se elimina la necesidad de que el TAI vuelva a autenticar el usuario de inicio de sesión único con Tivoli Access Manager para cada solicitud. Puede modificar el periodo de tiempo de espera de la memoria caché estableciendo la propiedad de caducidad de la contraseña del inicio de sesión único el tiempo necesario en segundos. Si la propiedad de caducidad de la contraseña está establecida en 0, la contraseña de memoria caché nunca caduca. El valor predeterminado de la propiedad de caducidad de la contraseña es 600.
    com.ibm.websphere.security.
    webseal.ignoreProxy
    Esta propiedad puede utilizarse para indicar a TAI que ignore los proxy como hosts de confianza. Si se establece en true, se comprueba el campo de comentarios de la entrada de host en la cabecera via para determinar si un host es un proxy. Recuerde que no todos los comentarios insertados por un proxy en la cabecera via indican que estos sean servidores proxy. El valor por omisión de la propiedad ignoreProxy es false. Si la propiedad checkViaHeader se establece en false, la propiedad ignoreProxy no tiene ninguna influencia en el establecimiento de confianza.
    com.ibm.websphere.security.
    webseal.configURL

    [AIX Solaris HP-UX Linux Windows][z/OS]Para que el TAI establezca confianza para una solicitud, es necesario que SvrSslCfg se ejecute para Java™ Virtual Machine en el servidor de aplicaciones y se cree un archivo de propiedades. Si este archivo de propiedades no es el URL por omisión, que es archivo://java.home/PdPerm.properties, el URL correcto del archivo de propiedades se debe establecer en la propiedad del URL de la configuración. Si esta propiedad no se ha establecido y las propiedades generadas por SvrSslCfg no se encuentran en la ubicación por omisión, la inicialización de TAI será anómala. El valor predeterminado de la propiedad de URL de configuración es file://$WAS_HOME/java/jre/PdPerm.properties.

    [IBM i]Establezca esta propiedad en perfil-raíz/etc/pd/PolicyDirector/PDPerm.properties. Para que el TAI establezca la confianza para una solicitud, requiere que el archivo PDPerm.properties existe en cada nodo de la célula. Además, el URL correcto del archivo de propiedades debe establecerse en la propiedad del URL de configuración. Si esta propiedad no se establece o el archivo PDPerm.properties no está en la ubicación especificada, la inicialización del TAI será anómala. El archivo PDPerm.properties forma parte de la configuración de Tivoli Access Manager para un nodo. Para crear la configuración de Tivoli Access Manager, ejecute el script pdjrtecfg y, a continuación, el script svrsslcfg para cada nodo de la célula. El archivo PDPerm.properties se crea en el directorio raíz-perfil/etc/pd/PolicyDirector/.

  8. Pulse Aceptar.
  9. Guarde la configuración y cierre la sesión.
  10. Reinicie WebSphere Application Server.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_ssowsstep4TAIplusplus
File name: tsec_ssowsstep4TAIplusplus.html