Inicio de sesión único para las solicitudes HTTP mediante TAI de SPNEGO (en desuso)
WebSphere Application Server proporciona un interceptor de asociación de confianza (TAI) que utiliza SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) para negociar y autenticar de forma segura las solicitudes HTTP para los recursos protegidos de WebSphere Application Server.

En WebSphere Application Server Versión 6.1, se introdujo un interceptor de asociación de confianza (TAI) que utiliza el mecanismo SPNEGO (Simple and Protected GSS-API Negotiation) para negociar y autenticar con seguridad solicitudes HTTP para recursos seguros. En WebSphere Application Server 7.0, esta función está ahora en desuso. La autenticación web SPNEGO ha ocupado su lugar para proporcionar la recarga dinámica de filtros SPNEGO y para habilitar la recuperación para el método de inicio de sesión de la aplicación.
Consulte Creación de un inicio de sesión único para las solicitudes HTTP mediante la autenticación Web SPNEGO para obtener más información.
depfeatSPNEGO es una especificación estándar definida en The Simple and Protected GSS-API Negotiation Mechanism (IETF RFC 2478).
Los usuarios HTTP inician la sesión y se autentican sólo una vez en el escritorio y posteriormente (internamente) con WebSphere Application Server. El SPNEGO TAI es invisible para el usuario final de las aplicaciones de WebSphere. El SPNEGO TAI sólo es visible para el administrador web, que es responsable de garantizara una configuración, capacidad y mantenimiento adecuados del entorno web.
Servidores Microsoft Windows con el dominio de Active Directory y el centro de distribución de claves (KDC) de Kerberos asociado. Para obtener información sobre los servidores Microsoft Windows Servers soportados, consulte los Requisitos del sistema para WebSphere Application Server Versión 9.0 en Windows.
- Una aplicación cliente, por ejemplo, un cliente Microsoft .NET o de navegador, que dan soporte al mecanismo de autenticación SPNEGO, como se define en IETF RFC 2478. Microsoft Internet Explorer Versión 5.5 o posterior y Mozilla Firefox Versión 1.0 son ejemplos de navegador. Todos los navegadores deben configurarse para que puedan utilizar el mecanismo SPNEGO. Para obtener más información sobre como realizar esta configuración, consulte Configuración del navegador de cliente para utilizar SPNEGO TAI (en desuso).
El proceso de reconocimiento de comunicación de solicitud-respuesta se ilustra en el siguiente gráfico:

- Establecimiento de las propiedades de configuración de Kerberos. Consulte Archivo de configuración de Kerberos.
- Establecimiento o ajuste de las propiedades personalizadas de SPNEGO TAI. Consulte Configuración de propiedades personalizadas de TAI SPNEGO (obsoleto).
- Ajuste de los valores de filtro del SPNEGO TAI. Consulte Configuración de las propiedades personalizadas de JVM, filtrado de solicitudes HTTP y habilitación de SPNEGO TAI en WebSphere Application Server (en desuso)
- Utilización del módulo de inicio de sesión personalizado para correlacionar la identidad procedente de Active Directory con el registro de WebSphere Application Server. Consulte Correlación de los ID de usuario de cliente con un servidor para SPNEGO.
- Establecimiento de los atributos de JVM (Java Virtual Machine) principales y adicionales. Consulte Propiedades personalizadas de configuración de la JVM de SPNEGO TAI (obsoleto)
El administrador web tiene acceso a los siguientes componentes de seguridad del SPNEGO TAI y datos de configuración asociados.

- El módulo de autenticación web y el mecanismo LTPA (Lightweight Third Party Authentication) proporcionan una infraestructura de tiempo de ejecución de plug-in para los interceptores de asociación de confianza. Consulte Configuración del mecanismo LTPA (Lightweight Third Party Authentication) para obtener más detalles sobre la configuración del mecanismo LTPA para su uso con el SPNEGO TAI.
- El proveedor JGSS (Java Generic Security Service) se incluye en el SDK
de Java (
jre/lib/ibmjgssprovider.jar
raíz_servidor_aplicaciones/java/endorsed/ibmjgssprovider.jar) y se utiliza para obtener las credenciales y el contexto de seguridad de Kerberos que se utilizan para la autenticación. IBM® JGSS 1.0 es una infraestructura GSSAPI (Generic Security Service Application Programming Interface) de Java con Kerberos V5 como mecanismo de seguridad por omisión subyacente. GSSAPI es una interfaz abstracta estandarizada en la que se puede conectar distintos mecanismos de seguridad basados en tecnologías de claves privadas o de claves públicas u otras tecnologías de seguridad. GSSAPI protege las aplicaciones seguras de las complejidades y peculiaridades de los distintos mecanismos de seguridad subyacentes. GSSAPI proporciona la autenticación de identidad y de origen de mensaje, la integridad de mensajes y la confidencialidad de mensajes. Para obtener más información, consulte JGSS.
- Las propiedades de configuración de Kerberos
(krb5.conf o krb5.ini ) y las claves de
cifrado de Kerberos (almacenadas en el archivo de tabla de claves) se
utilizan para establecer la autenticación mutua segura.
El gestor de tabla de claves de Kerberos (Ktab), que forma parte de JGSS, permite gestionar los nombres principales y las clases de servicio almacenados en el archivo de tabla de claves de Kerberos local. Los pares de nombre principal y clave enumerados en el archivo de tabla de claves de Kerberos permiten que los servicios que se ejecuten en un host se autentiquen ellos mismos en el centro de distribución de claves (KDC) de Kerberos. Antes de que un servidor utilice Kerberos, debe inicializarse un archivo de tabla de claves de Kerberos en el host que ejecuta el servidor.
En Utilización del mandato ktab para gestionar el archivo keytab de Kerberos se destacan los requisitos de configuración de Kerberos para el SPNEGO TAI así como el uso de Ktab.
- El proveedor de SPNEGO proporciona la implementación del mecanismo de autenticación SPNEGO, ubicado en
/$WAS_HOME/java/jre/lib/ext/ibmspnego.jar
raíz_servidor_aplicaciones/java/ext/ibmspnego.jar.
- Las propiedades de configuración personalizadas controlan el comportamiento del tiempo de ejecución del SPNEGO TAI. Las operaciones de configuración se realizan con la consola administrativa o los recursos de scripts. Consulte Configuración de propiedades personalizadas de TAI SPNEGO (obsoleto) para obtener más información sobre estas propiedades de configuración personalizadas.
- Las propiedades personalizadas de la máquina virtual Java (JVM) controlan la información de rastreo de diagnóstico para la determinación de problemas del proveedor de seguridad JGSS, así como el uso de la característica de recarga de propiedades. Propiedades personalizadas de configuración de la JVM de SPNEGO TAI (obsoleto) describe estas propiedades JVM personalizadas.
Se establece un entorno de inicio de sesión único integrado con servidores Microsoft Windows utilizando el dominio de Active Directory.
- El coste de administración de un número elevado de ID y contraseñas se reduce.
- Se establece una transmisión segura y autenticada mutuamente de las credenciales de seguridad desde los clientes de Microsoft .NET o de navegador Web.
- Se logra la interoperatividad con los servicios web y las aplicaciones Microsoft .NET que utilizan la autenticación de SPNEGO a nivel de transporte.
- Usuario de navegador final
- El usuario final debe configurar la aplicación Microsoft .NET o de navegador Web para emitir las solicitudes HTTP que el SPNEGO TAI procesa.
- Administrador Web
- El administrador web es responsable de configurar el SPNEGO TAI de WebSphere Application Server para que responda a las solicitudes HTTP del cliente.
- Administrador de WebSphere Application Server
- El administrador de WebSphere Application Server es responsable de configurar WebSphere Application Server y SPNEGO TAI para un rendimiento de instalación óptimo.