Lightweight Third Party Authentication
LTPA (Lightweight Third Party Authentication) é destinado para ambientes distribuídos de vários servidores de aplicativos e máquinas. O LTPA suporta credenciais redirecionáveis e SSO (Conexão Única). O LTPA pode suportar segurança em um ambiente distribuído por meio de criptografia. Esse suporte permite que o LTPA criptografe, assine digitalmente e transmita com segurança dados relacionados a autenticação e, posteriormente, os decriptografe e verifique a assinatura.
Servidores de aplicativos distribuídos em vários nós e células podem se comunicar de forma segura utilizando o protocolo LTPA. Fornece também o recurso de conexão única (SSO) em que um usuário é solicitado a autenticar-se apenas uma vez em um sistema de nomes de domínio (DNS) e pode acessar recursos em outras células do WebSphere Application Server sem aviso. Os nomes de regiões em cada sistema no domínio DNS fazem distinção entre maiúsculas e minúsculas e devem coincidir de maneira idêntica.
Para S.O. local, o nome da região é igual ao nome do
host.
Para S.O. local, o nome da região é o nome do domínio, se
um domínio estiver sendo utilizado, ou o nome da região é o nome da máquina.
Para o LDAP (Lightweight Directory Access Protocol), o nome da região é o valor host:port do servidor LDAP.
O protocolo LTPA utiliza chaves criptográficas para criptografar e decriptografar dados do usuário que são transmitidos entre os servidores. Essas chaves devem ser compartilhadas entre as diferentes células para que os recursos de uma célula acessem recursos de outras células, supondo-se que todas as células envolvidas utilizem o mesmo registro LDAP ou customizado.
Quando se utiliza LTPA, um token é criado contendo as informações sobre o usuário e um horário de expiração, e é assinado pelas chaves. O token LTPA é sensível à hora. Todos os servidores de produtos que participam em um domínio de proteção deve ter seus horários e datas sincronizados. Caso contrário, tokens de LTPA aparecerão prematuramente expirados e causarão falhas de autenticação ou validação. A Hora Universal Coordenada (UTC) é usada por padrão, e todas as outras máquinas devem ter o mesmo horário UTC. Consulte a documentação do seu sistema operacional para obter informações sobre como garantir isso.
Esse token é passado para outros servidores, na mesma célula ou em uma célula diferente, por meio de cookies, para recursos da Web quando SSO é ativado, ou por meio da camada do protocolo de autenticação para enterprise beans.
Se os servidores receptores compartilharem as mesmas chaves que o servidor de origem, o token poderá ser decriptografado para obter as informações do usuário que, em seguida, serão validadas para certificar de que não tenha expirado e que as informações do usuário no token são válidas em seu registro. Quando a validação é bem-sucedida, os recursos nos servidores receptores são acessíveis após a verificação da autorização.
Cada servidor deve ter credenciais válidas. Quando as credenciais expiram, o servidor precisa comunicar-se com o registro do usuário para se autenticar. As interrupções de registro do usuário podem fazer com que os processos sejam interrompidos, exigindo que sejam reiniciados para realizar a recuperação. A extensão do tempo que o token de LTPA permanece armazenado em cache reduz esse risco, mas apresenta um risco de segurança ligeiramente maior a ser considerado ao definir suas políticas de segurança.
Todos os processos do WebSphere Application Server em uma célula (gerenciador de implementação, nós, servidores de aplicativos) compartilham o mesmo conjunto de chaves. Se o compartilhamento de chaves for necessário entre diferentes células, exporte-as de uma célula e importe-as para as outras. Para propósitos de segurança, as chaves exportadas são criptografadas com uma chave gerada aleatoriamente e uma senha definida pelo usuário é utilizada para proteger as chaves. Essa mesma senha é necessária ao importar as chaves para outra célula. A senha é utilizada somente para proteger as chaves e não para gerá-las.
O WebSphere Application Server suporta os protocolos LTPA e Kerberos.
Quando a segurança é ativada durante a hora de criação do perfil, o LTPA é configurado por padrão.
O LTPA exige que o registro do usuário configurado seja um repositório compartilhado centralmente, como o LDAP ou um registro de tipo de domínio do Windows, para que usuários e grupos sejam os mesmos, independentemente da máquina.
A utilização de LTPA com o registro do usuário do S.O. local é aplicável
apenas a configurações em que todos os servidores residem no mesmo sistema.