LTPA 쿠키를 사용하여 인증을 위한 싱글 사인온
싱글 사인온(SSO)을 사용하여 웹 사용자는 WebSphere® Application Server 자원(예: HTML, JSP(JavaServer Pages) 파일, 서블릿, 엔터프라이즈 Bean) 및 Lotus® Domino® 자원(예: Domino 데이터베이스의 문서) 모두에 액세스하는 경우 또는 다중 WebSphere Application Server 도메인의 자원에 액세스하는 경우에 한 번만 인증 가능합니다.
다중 노드 및 셀에 분산된 애플리케이션 서버는 LTPA(Lightweight Third Party Authentication) 프로토콜을 사용하여 안전하게 통신할 수 있습니다. LTPA는 다중 애플리케이션 서버와 머신 환경 분배에 사용됩니다. LTPA는 암호화를 통해 분산 환경에서 보안을 지원할 수 있습니다. 이 지원을 통해 LTPA가 암호화, 디지털 서명, 안전하게 인증 관련 데이터 전송 및 이후의 복호화 및 서명 확인을 할 수 있습니다.
LTPA는 사용자가 도메인 이름 시스템(DNS) 도메인에 한 번만 인증하여 프롬프트 없이도 다른 WebSphere Application Server 셀의 자원에 액세스할 수 있는 SSO 기능도 제공합니다. 웹 사용자는 WebSphere Application Server 또는 Domino 서버에 대해 한 번만 인증 가능합니다. 이 인증은 WebSphere Application Servers 및 Domino 서버가 인증 정보를 공유하도록 구성하여 설정됩니다.
다시 로그인하지 않고도 웹 사용자는 다른 WebSphere Application Servers 또는 Domino 서버에 SSO에 대해 사용되는 동일한 DNS 도메인에 액세스할 수 있습니다. WebSphere Application Servers에 대해 SSO를 구성하여 WebSphere Application Server에서 SSO를 사용할 수 있습니다. WebSphere Application Servers 및 Domino 서버 사이에서 SSO를 사용하려면 WebSphere Application Server 및 Domino에 대해 SSO를 구성해야 합니다.
전제조건 및 조건
- 모든 서버가 동일한 DNS 도메인 파트로 구성되었는지 확인하십시오. DNS 도메인에서 각 시스템의 영역 이름은 대소문자를 구분하며 완벽하게 일치해야 합니다. 예를 들어,
DNS 도메인이 mycompany.com으로 지정되는 경우 SSO는
mycompany.com 도메인(예: a.mycompany.com 및 b.mycompany.com)의
파트인 호스트의 모든 Domino 서버 또는 WebSphere Application Server에서 적용됩니다. 주의: DNS 도메인이 다른 경우에는 상호 도메인 SSO는 지원되지 않습니다(예: z.AAAcompany.com 및 w.BBBcompany.com).
- 모든 서버가 동일한 레지스트리를 공유하는지 확인하십시오.
Domino 서버는 독립형 사용자 정의 레지스트리는 지원하지 않지만 Domino 지원 레지스트리를 WebSphere Application Server 내에서 독립형 사용자 정의 레지스트리로 사용할 수 있습니다.이 레지스트리는 지원되는 LDAP(Lightweight Directory Access Protocol) 디렉토리 서버 또는 SSO가 두 WebSphere Application Servers에 대해 구성되는 경우 독립형 사용자 정의 레지스트리일 수 있습니다.
LDAP 액세스 또는 레지스트리에 대한 다른 LDAP 디렉토리로 구성된 Domino 디렉토리를 사용할 수 있습니다. LDAP 디렉토리 제품은 WebSphere Application Server 지원이 있어야 합니다. 지원되는 제품에는 Domino 및 LDAP 서버(예: IBM® Tivoli® Directory Server) 모두가 포함됩니다. LDAP 또는 독립형 사용자 정의 레지스트리 사용 선택 여부에 상관없이 SSO 구성은 동일합니다. 차이점은 레지스트리 구성에 있습니다.
- 모든 사용자를 단일 LDAP 디렉토리에 정의하십시오. 다중 Domino 디렉토리 지원 문서를 사용하여 다중 디렉토리에 액세스하는 것도 지원되지 않습니다.
- 서버에서 생성되는 인증 정보가 브라우저에 쿠키로 전달되기 때문에 브라우저에서 HTTP 쿠키를 사용하십시오. 쿠키는 사용자에 대한 인증 정보를 다른 서버로 전파하는 데 사용되며 사용자가 다른 서버에 대한 모든 요청에 인증 정보를 입력하지 않도록 합니다.
- Domino 서버:
- iSeries 및 기타 플랫폼용 Domino 릴리스 6.5.4는 지원됩니다.
- Lotus Notes® 클라이언트 릴리스 5.0.5 이상이 Domino 서버를 SSO용으로 구성하는 데 필요합니다.
- 다중 Domino 도메인에서 인증 정보를 공유할 수 있습니다.
- WebSphere Application Server:
- 모든 플랫폼에 대한 WebSphere Application Server 버전 3.5 이상이 지원됩니다.
- WebSphere Application Server에서 지원되는 모든 HTTP 웹 서버를 사용할 수 있습니다.
- 다중 제품 관리 도메인에서 인증 정보를 공유할 수 있습니다.
- 기본 및 양식 로그인 메커니즘을 사용하는 기본 인증(사용자 ID 및 비밀번호)이
지원됩니다. 참고: 웹 애플리케이션에 대한 양식 로그인 메커니즘을 사용하려면 SSO가 사용되어야 합니다.
- 기본적으로 WebSphere Application Server는 권한 부여에 대해 대소문자를 구분하는 비교를 수행합니다. 이 비교는 Domino에서 인증되는 사용자가 WebSphere Application Server 권한 테이블의 항목과 정확하게(기본 식별 이름 포함) 일치하는 것을 나타냅니다. 권한 부여에 대소문자 구분이 고려되지 않는 경우, LDAP 사용자 레지스트리 설정에서 Ignore Case 특성을 사용하십시오.