LTPA Cookies を使用した認証のためのシングル・サインオン

シングル・サインオン (SSO) のサポートにより、Web ユーザーは、HTML、JavaServer Pages (JSP) ファイル、サーブレット、エンタープライズ Bean などの WebSphere® Application Server リソース、および Lotus Domino データベース内の文書などの Lotus® Domino リソースの両方にアクセスする場合、または複数の WebSphere Application Server ドメイン内のリソースにアクセスする場合に、認証を一度で済ませることができます。

複数のノードおよびセルに分散されているアプリケーション・サーバーは、Lightweight Third Party Authentication (LTPA) プロトコルを使用することによって、安全に通信を行うことができます。 LTPA は、 分散環境と複数アプリケーション・サーバーおよびマシンの環境を対象としています。 LTPA は、分散環境のセキュリティーを暗号化によりサポートすることができます。 このサポートにより、LTPA は、 認証関連のデータを暗号化し、デジタル署名して安全に伝送し、 後で署名を暗号化解除して検査することができます。

また、LTPA では SSO フィーチャーも提供されます。 SSO では、ユーザーは、 ドメイン・ネーム・システム (DNS) ドメインで一度だけ認証を受けるだけで、 プロンプトが出されることもなく、 WebSphere Application Server の他のセルにあるリソースに アクセスすることができます。Web ユーザーは、 WebSphere Application Server または Lotus Domino Server への認証を一度で済ませることができます。 この認証を実現するには、 認証情報を共有するように WebSphere Application Server と Lotus Domino Server を構成します。

再度ログオンしなくても、Web ユーザーは、 SSO が使用可能である同じ DNS ドメイン内の他の WebSphere Application Server または Lotus Domino Server にアクセスできます。WebSphere Application Server に対して SSO を構成して、WebSphere Application Server 間で SSO を 使用可能にできます。WebSphere Application Server と Lotus Domino Server の間で SSO を使用可能にするには、 WebSphere Application Server と Lotus Domino の両方で SSO を構成する必要があります。

前提条件およびその他の条件

WebSphere Application Server 間または WebSphere Application Server と Lotus Domino Server の間で SSO のサポートを利用するには、 アプリケーションが、以下の前提条件および条件を満たしていなければなりません。
  • すべてのサーバーが、同じ DNS ドメインの一部として構成されている。 DNS ドメインの各システムにあるレルム名は大/小文字が区別され、完全に一致している必要があります。例えば、 DNS ドメインが mycompany.com として指定されている場合、 mycompany.com ドメインの一部であるホスト上 (a.mycompany.comb.mycompany.com など) の任意の Lotus Domino Server または WebSphere Application Server で SSO は有効となります。
    重要: クロスドメイン SSO はサポートされません (例えば、DNS ドメインが異なる z.AAAcompany.comw.BBBcompany.com の場合)。
  • すべてのサーバーが同じレジストリーを共有していることを確認してください。

    [AIX Solaris HP-UX Linux Windows][IBM i]このレジストリーは、 サポートされている Lightweight Directory Access Protocol (LDAP) ディレクトリー・サーバーでも、 あるいは 2 つの WebSphere Application Server 間で SSO が構成されている場合は、 スタンドアロン・カスタム・レジストリーでもかまいません。

    Lotus Domino Server では、スタンドアロン・カスタム・レジストリーをサポートしていませんが、Lotus Domino がサポートするレジストリーを WebSphere Application Server 内でスタンドアロン・カスタム・レジストリーとして使用できます。

    LDAP アクセス用に構成 された Lotus Domino ディレクトリー、またはその他の LDAP ディレクトリーを、 レジストリーに使用することができます。LDAP ディレクトリー製品は、WebSphere Application Server によってサポートされていなければなりません。サポートされている製品には、Lotus Domino Server および LDAP サーバー (IBM® Tivoli® Directory Server など) があります。LDAP またはスタンドアロン・カスタム・レジストリーのどちらを使用するように選択したかを問わず、 SSO 構成は同じです。 異なるのは、レジストリーの構成です。

  • すべてのユーザーを、単一の LDAP ディレクトリー内で定義している。 複数の Lotus Domino ディレクトリー・アシスタンス文書の使用による、複数ディレクトリーへのアクセスもサポートされていません。
  • ブラウザーで、HTTP Cookies が使用可能になっている。これは、サーバーによって生成される認証情報が、Cookie によってブラウザーに移送されるためです。 Cookie は、ユーザーの認証情報を他のサーバーに伝搬するために使用されます。 これにより、ユーザーは、別のサーバーに対する要求ごとに認証情報を入力することを免除されます。
  • Lotus Domino Server の場合
    • Domino Release 6.5.4 for iSeries および他のプラットフォームがサポートされています。
    • Lotus Domino Server を SSO 用に構成するために Lotus Notes® クライアント・リリース 5.0.5 以降が必要です。
    • 認証情報が、複数の Lotus Domino ドメイン全体で共有できます。
  • WebSphere Application Server の場合
    • WebSphere Application Server バージョン 3.5 以降のすべてのプラットフォーム版がサポートされています。
    • WebSphere Application Server によってサポートされているすべての HTTP Web サーバーが使用できます。
    • 認証情報を、製品の複数の管理可能ドメイン全体で共有することができます。
    • 基本メカニズムおよびフォーム・ログイン・メカニズムを使用する基本認証 (ユーザー ID とパスワード) がサポートされています。
      注: Web アプリケーションのフォーム・ログイン・メカニズムでは、SSO が使用可能になっている必要があります。
    • デフォルトでは、 WebSphere Application Server は大/小文字を区別して 許可のための比較を行います。この比較は、Lotus Domino で認証されるユーザーが、 WebSphere Application Server 許可表内のエントリー (基本識別名を含む) と完全に一致することを意味します。許可の際に大/小文字の区別を考慮しない場合は、 LDAP ユーザー・レジストリー設定で、「大文字小文字を区別しない」プロパティーを使用可能にしてください。

トピックのタイプを示すアイコン 概念トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sso
ファイル名:csec_sso.html