Inicio de sesión único para la autenticación mediante cookies LTPA
Con el soporte de inicio de sesión único (SSO), los usuarios web pueden autenticarse una vez cuando acceden a recursos de WebSphere Application Server, como HTML, archivos JSP (JavaServer Page), servlets, enteprise beans y recursos de Lotus Domino, como documentos de una base de datos Domino, o cuando acceden a recursos de varios dominios de WebSphere Application Server.
Los servidores de aplicaciones distribuidos en varios nodos y células se pueden comunicar de forma segura utilizando el protocolo LTPA (Lightweight Third Party Authentication). LTPA se ha diseñado para entornos distribuidos de varias máquinas y servidores de aplicaciones. LTPA puede dar soporte a la seguridad en un entorno distribuido mediante la criptografía. Este soporte permite a LTPA cifrar, firmar digitalmente y transmitir de forma segura los datos relacionados con la autenticación y, posteriormente, descifrar y comprobar la firma.
LTPA también proporciona la característica SSO, donde el usuario sólo necesita autenticarse una vez en un dominio DNS (Sistema de nombre de dominio) y tiene acceso a los recursos de otras células de WebSphere Application Server sin necesidad de autenticarse otra vez. Los usuarios Web puede autenticarse una vez en un WebSphere Application Server o en un servidor Domino. Esta autenticación se consigue configurando los servidores WebSphere Application Server y Domino para que compartan la información de autenticación.
Sin necesidad de volver a iniciar la sesión, los usuarios web pueden acceder a otros servidores WebSphere Application Server o Domino del mismo dominio DNS que estén habilitados para SSO. Puede habilitar SSO entre los servidores WebSphere Application Server configurando SSO para WebSphere Application Server. Para habilitar SSO entre servidores WebSphere Application Server y Domino, deberá configurar SSO para WebSphere Application Server y Domino.
Requisitos previos y condiciones
- Verifique que todos los servidores estén configurados como parte del mismo dominio DNS. Los nombres de reino de
cada sistema del dominio DNS son sensibles a las mayúsculas y minúsculas y deben ser
idénticos. Por ejemplo, si se especifica el dominio DNS como mycompany.com, entonces
SSO es eficaz con cualquier servidor Domino o WebSphere Application Server de un
host que forme parte del dominio mycompany.com, por ejemplo,
a.mycompany.com y b.mycompany.com.Atención: El inicio de sesión único entre dominios no se soporta, por ejemplo z.AAAcompany.com y w.BBBcompany.com - donde los dominios DNS son diferentes.
- Verifique que todos los servidores compartan el mismo
registro.
Los servidores Domino no soportan los registros personalizados autónomos, pero se puede utilizar un registro soportado por Domino como registro personalizado autónomo dentro de WebSphere Application Server.Este registro puede ser un servidor de directorio LDAP (Lightweight Directory Access Protocol) soportado o, si SSO se ha configurado entre dos servidores WebSphere Application Server, un registro personalizado autónomo.
Se puede utilizar un directorio de Domino configurado para el acceso a LDAP u otros directorios LDAP para el registro. El producto de directorios LDAP debe tener soporte de WebSphere Application Server. Los productos soportados incluyen los servidores LDAP y Domino como, por ejemplo, IBM® Tivoli Directory Server. Sin tener en cuenta la elección del uso de un registro personalizado autónomo o un registro LDAP, la configuración de SSO es la misma. La diferencia está en la configuración del registro.
- Defina todos los usuarios en un único directorio LDAP. No se da soporte tampoco a la utilización múltiples documentos de asistencia de directorios de Domino para acceder a múltiples directorios.
- Habilite las cookies de HTTP en los navegadores, puesto que la información de autenticación que genera el servidor se transporta al navegador en una cookie. La cookie se utiliza para propagar la información de autenticación del usuario a otros servidores, con lo que el usuario no tiene que entrar la información de autenticación de cada solicitud para un servidor diferente.
- Para un servidor Domino:
- Se da soporte a Domino Release 6.5.4 para iSeries y otras plataformas.
- Es necesario un cliente de Lotus Notes Release 5.0.5 o posterior, para configurar el servidor Domino para SSO.
- Puede compartir la información de autenticación entre varios dominios de Domino.
- Para WebSphere Application
Server:
- Se da soporte a WebSphere Application Server Versión 3.5 o posterior, para todas las plataformas.
- Puede utilizar cualquier servidor Web HTTP que esté soportado por WebSphere Application Server.
- Puede compartir la información de autenticación entre varios dominios administrativos del producto.
- Se da soporte a la autenticación básica (ID de usuario y contraseña) utilizando los mecanismos básicos y mediante formulario. Nota: Los mecanismos de inicio de sesión de formulario para aplicaciones web requieren que SSL esté habilitado.
- De forma predeterminada, WebSphere Application Server hace una comparación sensible a las mayúsculas para la autorización. Esta comparación implica que un usuario autenticado por Domino coincide exactamente con la entrada (incluido el nombre distinguido básico) en la tabla de autorizaciones de WebSphere Application Server. Si no se tienen en cuenta las mayúsculas y las minúsculas en la autorización, habilite la propiedad Ignorar mayúsculas/minúsculas en los valores del registro de usuarios LDAP.