Utilisation de SSO pour l'authentification avec des cookies LTPA
La connexion unique permet aux utilisateurs Web de s'authentifier une seule fois lors de l'accès aux ressources WebSphere Application Server, telles que les fichiers HTML, JSP, les servlets, les beans enterprise et aux ressources Lotus Domino, telles que les documents d'une base de données Domino. Elle sert également à accéder aux ressources dans plusieurs domaines WebSphere Application Server.
Le protocole LTPA (Lightweight Third Party Authentication) permet aux serveurs d'applications répartis dans plusieurs noeuds et cellules de communiquer de façon sécurisée. Il est conçu pour les environnements comportant plusieurs machines et serveurs d'applications. LTPA peut prendre en charge la sécurité dans un environnement réparti via la cryptographie. Ainsi, LTPA peut chiffrer, générer des signatures numériques et transmettre de manière sécurisée les données liées à l'authentification, puis déchiffrer et vérifier la signature.
Le protocole LTPA fournit par ailleurs la fonction de connexion unique (SSO) avec laquelle un utilisateur peut être authentifié une seule fois dans un domaine DNS et accéder aux ressources dans d'autres cellules WebSphere Application Server sans autre intervention. Les utilisateurs Web peuvent s'authentifier auprès d'un serveur Domino ou WebSphere Application Server. Cette authentification est effectuée via la configuration des serveurs Domino et WebSphere Application Server, afin qu'ils partagent les informations d'authentification.
Sans avoir besoin de se connecter à nouveau, les utilisateurs Web peuvent ensuite avoir accès à un autre serveur Domino ou WebSphere Application Server du même domaine DNS configuré pour prendre en charge la connexion unique. Vous pouvez activer la connexion unique dans les serveurs WebSphere Application Server en configurant cette fonction pour ce produit. Pour activer la connexion unique entre les serveurs WebSphere Application Server et Domino, vous devez configurer SSO pour ces deux produits.
Conditions préalables
- Vérifiez que tous les serveurs sont configurés comme faisant partie du
même domaine DNS. Les noms de domaine sur chaque système du domaine DNS respectent la
distinction entre les majuscules et les minuscules et doivent être exactement identiques. Par exemple, si le domaine DNS est indiqué sous la forme monentreprise.com, SSO s'applique alors sur tout serveur Domino ou WebSphere Application Server, sur un hôte faisant partie du domaine monentreprise.com, par exemple a.monentreprise.com et b.monentreprise.com. Avertissement : SSO interdomaine n'est pas pris en charge. Par exemple z.AAAcompany.com et w.BBBcompany.com, où les domaines DNS sont différents.
- Vérifiez que tous les serveurs partagent le même registre.
Les serveurs Domino ne prennent pas en charge les registres personnalisés autonomes, mais vous pouvez utiliser un registre pris en charge par Domino en tant que registre personnalisé autonome dans WebSphere Application Server.Ce registre peut être un serveur d'annuaires LDAP (Lightweight Directory Access Protocol) pris en charge ou, lorsque la connexion unique est configurée entre deux serveurs WebSphere Application Server, un registre personnalisé autonome.
Vous pouvez utiliser un annuaire Domino configuré pour l'accès LDAP ou d'autres annuaires LDAP pour le registre. Le produit utilisé comme annuaire LDAP doit être pris en charge par WebSphere Application Server. Les produits pris en charge incluent à la fois des serveurs Domino et LDAP, tels qu'IBM® Tivoli Directory Server. Que vous utilisiez un registre LDAP ou un registre personnalisé autonome, la procédure de configuration de SSO est identique. La différence réside dans la configuration du registre.
- Définissez tous les utilisateurs dans un seul annuaire LDAP. L'utilisation des documents d'assistance d'annuaire Domino multiples pour accéder à plusieurs répertoires n'est pas prise en charge non plus.
- Activez les cookies HTTP dans les navigateurs car les informations d'authentification générées par le serveur sont transmises au navigateur dans un cookie. Ce dernier est utilisé pour propager les données d'authentification de l'utilisateur vers les autres serveurs, évitant ainsi à l'utilisateur d'entrer ces données pour chaque demande qu'il adresse à un serveur différent.
- Pour un serveur Domino :
- Domino version 6.5.4 (pour iSeries et d'autres plateformes) est pris en charge.
- Un client Lotus Notes version 5.0.5 ou plus est nécessaire à la configuration du serveur Domino en vue de l'utilisation de la connexion unique.
- Vous pouvez partager les informations d'authentification entre plusieurs domaines Domino.
- Pour WebSphere Application Server :
- Le produit WebSphere Application Server version 3.5 ou plus est pris en charge, pour toutes les plateformes.
- Vous pouvez utiliser tout serveur Web HTTP pris en charge par WebSphere Application Server.
- Vous pouvez partager les informations d'authentification entre plusieurs domaines d'administration de produit.
- L'utilisation de l'authentification de base (ID utilisateur et mot de passe) avec les types de demande
d'authentification "De base" et "Par formulaire" est autorisée. Remarque : Les mécanismes de connexion par formulaire des applications Web requièrent l'activation de SSO.
- Par défaut, WebSphere Application Server effectue une comparaison pour l'autorisation, en prenant en compte les majuscules et les minuscules. Avec cette comparaison, l'utilisateur authentifié par le serveur Domino correspond exactement à l'entrée (y compris le nom distinctif de base) dans la table d'autorisations de WebSphere Application Server. Si les majuscules et les minuscules ne doivent pas être prises en compte pour l'autorisation, activez la propriété Ignorer maj/min dans les paramètres du registre d'utilisateurs LDAP.