Valores de inicio de sesión único

Utilice esta página para establecer los valores de configuración para el inicio de sesión único (SSO).

Para ver esta página de la consola de administración, realice los pasos siguientes:
  1. Pulse Seguridad > Seguridad global.
  2. En Autenticación, pulse Seguridad Web y SIP > Inicio de sesión Único (SSO).

En este release, se ha añadido la opción "Establecer cookies de seguridad como HTTPOnly" a la página de valores de inicio de sesión único para resistir los ataques de script entre sitios. El atributo HttpOnly es un atributo de navegador creado para impedir que las aplicaciones del lado del cliente (como por ejemplo scripts Java™) accedan a las cookies para evitar algunas vulnerabilidades de scripts de sitios cruzados. El atributo especifica que las cookies LTPA y WASReqURL deben incluir el campo HTTPOnly.

Habilitada

Especifica que la función de inicio de sesión único está habilitada.

Las aplicaciones Web que utilizan las páginas de inicio de sesión de estilo FormLogin de Java EE como, por ejemplo, la consola administrativa, requieren que el inicio de sesión único (SSO) esté habilitado. Sólo debe inhabilitar SSO para ciertas configuraciones avanzadas donde las cookies de tipo LTPA SSO no se necesitan.

Información Valor
Tipo de datos: Booleano
Valor predeterminado: Habilitada
Rango: Habilitado o Inhabilitado

Necesita SSL

Especifica que el inicio de sesión único sólo se habilita cuando las peticiones se realizan a través de conexiones SSL (Capa de sockets seguros) HTTPS. Cuando esta propiedad está habilitada, la seguridad se habilita automáticamente.

Información Valor
Tipo de datos: Booleano
Valor predeterminado: Inhabilitar
Rango: Habilitar o Inhabilitar

Nombre de dominio

Especifica el nombre de dominio (por ejemplo, .ibm.com) para todos los hosts de inicio de sesión único.

El servidor de aplicaciones utiliza toda la información después del primer punto de izquierda a derecha para estos nombres de dominio. Si este campo no está definido, el navegador web toma como valor predeterminado del nombre de dominio el nombre de host donde se ejecuta la aplicación web. Asimismo, el inicio de sesión único está restringido al nombre de host del servidor de aplicaciones y no funciona con otros nombres de host del servidor de aplicaciones del dominio.

Puede especificar varios dominios separados por un punto y coma (;), un espacio ( ), una coma (,) o una barra vertical (|). Todos los dominios se comparan con el nombre de host de la petición HTTP hasta que se encuentra la primera coincidencia. Por ejemplo, si especifica ibm.com;austin.ibm.com y se encuentra una coincidencia en el dominio ibm.com en primer lugar, el servidor de aplicaciones no encontrará la coincidencia con el dominio austin.ibm.com. No obstante, si no se encuentra una coincidencia en ibm.com o austin.ibm.com, el servidor de aplicaciones no establece un dominio para la cookie LtpaToken.

Avoid trouble Avoid trouble:
  • El gestor de sesiones utiliza un generador aleatorio seguro para generar ID de sesión. El ID de sesión se graba en la cookie cuando se crea en el método setCookie. El gestor de sesiones no establece LtpaToken en las cookies.
  • El uso de varios nombres de dominio en el campo Nombre de dominio no le permite necesariamente utilizar nombres de dominio diferentes durante una sesión individual. Por ejemplo, si un nombre de dominio contiene el valor ibm.com;lotus.com, solo puede acceder a un servidor si ha iniciado sesión mediante SSO de forma correcta en www.ibm.com o en www.lotus.com, pero no en ambos ya que el navegador controla si envía o no la cookie LTPA.
gotcha

Si especifica el valor UseDomainFromURL, el servidor de aplicaciones establece el valor de nombre de dominio SSO en el dominio del host que se utiliza en la dirección web. Por ejemplo, si una solicitud HTTP viene de server1.raleigh.ibm.com, el servidor de aplicaciones establece el valor de nombre de dominio SSO en raleigh.ibm.com.

Consejo: El valor UseDomainFromURL es sensible a las mayúsculas/minúsculas. Puede escribir usedomainfromurl para utilizar este valor.
Información Valor
Tipo de datos: Serie

Modalidad interoperativa

Especifica que se envía una cookie interoperativa al navegador para dar soporte a servidores de niveles anteriores.

En WebSphere Application Server, versión 6 y posteriores, para la función de propagación de atributos de seguridad se necesita un formato de cookie nuevo. Cuando se habilita el distintivo de modalidad interoperativa, el servidor puede devolver al navegador como máximo dos cookies SSO (inicio de sesión único). En algunos casos, el servidor simplemente envía una cookie SSO interoperativa.

Propagación de atributos de seguridad de entrada web

Cuando se habilita la propagación de atributos de seguridad de entrada web, los atributos de seguridad se propagan a los servidores de aplicaciones frontales. Cuando esta opción está inhabilitada, se utiliza la señal de inicio de sesión único (SSO) para iniciar la sesión y volver a crear el sujeto del registro del usuario.

Si el servidor de aplicaciones es miembro de un clúster y el clúster se configura con un dominio DRS (Data Replication Service), entonces se produce la propagación. Si no se configura DRS, entonces el símbolo SSO contiene la información del servidor de origen.

Esta información permite que el servidor receptor se ponga en contacto con el servidor de origen utilizando una llamada MBean para obtener los atributos de seguridad serializados originales.

Establecer las cookies de seguridad como HTTPOnly para resistir ataques de scripts entre sitios

El atributo HttpOnly es un atributo de navegador creado para evitar que las aplicaciones del lado del cliente (como los scripts Java) accedan a cookies para evitar algunas vulnerabilidades de scripts entre sitios. El atributo especifica que las cookies LTPA y WASReqURL deben incluir el campo HTTPOnly.

Para las cookies de sesión, consulte los valores de sesión de los servidores, aplicaciones y módulos web.

Información Valor
Tipo de datos: Booleano
Valor predeterminado: habilitado
Rango: habilitado o inhabilitado

Nombre de cookie LTPA V2

Utilice este campo para establecer las nuevas propiedades personalizadas com.ibm.websphere.security.customLTPACookieName y com.ibm.websphere.security.customSSOCookieName.

La propiedad personalizada com.ibm.websphere.security.customLTPACookieName se utiliza para personalizar el nombre de las cookies utilizadas para señales de LTPA (Lightweight Third Party Authentication).

La propiedad personalizada com.ibm.websphere.security.customSSOCookieName se utiliza para personalizar el nombre de las cookies utilizadas para señales de LTPA2 (Lightweight Third Party Authentication Versión 2).

Para obtener información más detallada sobre cada propiedad, consulte el tema Propiedades personalizadas de seguridad.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_sso
File name: usec_sso.html