Conexão Única para Autenticação Usando Cookies LTPA
Com o suporte à conexão única (SSO), os usuários da web podem se autenticar uma vez ao acessar recursos do WebSphere Application Server, como HTML, arquivos JavaServer Pages (JSP), servlets e enterprise beans, e recursos do Lotus Domino, como documentos em um banco de dados do Domino, ou ao acessar recursos em diversos domínios do WebSphere Application Server.
Os servidores de aplicativos distribuídos em vários nós e células podem se comunicar de forma protegida utilizando o protocolo LTPA (Lightweight Third Party Authentication). O LTPA é destinado para ambientes distribuídos de vários servidores de aplicativos e máquinas. O LTPA pode suportar segurança em um ambiente distribuído por meio de criptografia. Esse suporte permite que o LTPA criptografe, assine digitalmente e transmita com segurança dados relacionados a autenticação e, posteriormente, os decriptografe e verifique a assinatura.
O LTPA também fornece o recurso SSO em que um usuário é solicitado a autenticar-se apenas uma vez em um sistema de nomes de domínio (DNS) e pode acessar recursos em outras células do WebSphere Application Server sem aviso. Os usuários da Web podem autenticar-se uma vez em um WebSphere Application Server ou em um servidor Domino. Essa autenticação é realizada por meio da configuração dos servidores WebSphere Application Servers e Domino para compartilhar informações de autenticação.
Sem efetuar login novamente, os usuários da Web podem acessar outros WebSphere Application Servers ou servidores Domino no mesmo domínio DNS que são permitidos para o SSO. É possível ativar a SSO entre os WebSphere Application Servers configurando a SSO para o WebSphere Application Server. Para ativar o SSO entre os servidores WebSphere Application Servers e Domino, você deve configurar o SSO para o WebSphere Application Server e o Domino.
Pré-requisitos e Condições
- Verifique se todos os servidores estão configurados como parte do mesmo domínio DNS. Os nomes de regiões em cada sistema no domínio DNS fazem distinção entre maiúsculas e
minúsculas e devem coincidir de maneira idêntica. Por exemplo, se o domínio DNS for
especificado como mycompany.com, a SSO será efetivada com qualquer servidor
Domino ou WebSphere Application Server em um host que faça
parte do domínio mycompany.com, por exemplo, a.mycompany.com e
b.mycompany.com. Atenção: SSO de domínio cruzado não é suportada, por exemplo, z.AAAcompany.com e w.BBBcompany.com - em que os domínios de DNS são diferentes.
- Verifique se todos os servidores compartilham o mesmo registro.
Os servidores Domino não suportam registros customizados independentes, mas podem usar um registro suportado do Domino como um registro customizado independente dentro do WebSphere Application Server.Esse registro pode ser um servidor de diretórios Lightweight Directory Access Protocol (LDAP) suportado ou se o SSO estiver configurado entre dois WebSphere Application Servers, um registro customizado independente.
É possível usar um diretório do Domino configurado para acesso LDAP ou outros diretórios LDAP para o registro. O produto do diretório LDAP deve ter o suporte do WebSphere Application Server. Os produtos suportados incluem os servidores Domino e LDAP, como o IBM® Tivoli Directory Server. Independentemente de sua escolha em usar um LDAP ou um registro customizado independente, a configuração de SSO é a mesma. A diferença está na configuração do registro.
- Defina todos os usuários em um único diretório LDAP. O uso de vários documentos de assistência ao Domino para acessar vários diretórios também não é suportado.
- Permita cookies HTTP em navegadores porque as informações de autenticação que são geradas pelo servidor são transportadas para o navegador em um cookie. O cookie é utilizado para propagar as informações de autenticação do usuário para outros servidores, dispensando o usuário de digitar informações de autenticação para cada pedido em um servidor diferente.
- Para um servidor
Domino:
- O Domino Release 6.5.4 para iSeries e outras plataformas são suportados.
- Um cliente Lotus Notes Release 5.0.5 ou posterior é necessário para configurar o servidor Domino para SSO.
- Você pode compartilhar informações de configuração entre diversos domínios do Domino.
- Para WebSphere Application
Server:
- O WebSphere Application Server Versão 3.5 ou posterior para todas as plataformas são suportados.
- É possível usar qualquer servidor da Web HTTP suportado pelo WebSphere Application Server.
- É possível compartilhar informações de autenticação entre vários domínios administrativos do produto.
- A autenticação básica (ID do usuário e senha) utilizando os mecanismos básico e form-login
é suportada. Nota: Os mecanismos de login do formulário para aplicativos da Web exigem que o SSO esteja ativado.
- Por padrão, o WebSphere Application Server faz uma comparação com distinção entre maiúsculas e minúsculas para autorização. Essa comparação implica em que um usuário autenticado pelo Domino corresponda exatamente com a entrada (incluindo o nome distinto base) na tabela de autorização do WebSphere Application Server. Se a distinção entre maiúsculas e minúsculas não for considerada para a autorização, ative a propriedade Ignorar Caixa nas definições do registro de usuários LDAP.