Conexão Única para Solicitações de HTTP Usado a Autenticação da Web SPNEGO
É possível negociar e autenticar com segurança solicitações de HTTP para recursos protegidos no WebSphere Application Server usando o mecanismo Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) como um serviço de autenticação da Web para o WebSphere Application Server.
- É possível configurar e ativar a autenticação da Web e os filtros SPNEGO no WebSphere Application Server usando o console administrativo.
- O recarregamento dinâmico de SPNEGO é fornecido sem a necessidade de parar e reiniciar o WebSphere Application Server.
- O fallback para um método de login de aplicativo será fornecido se a autenticação da Web SPNEGO falhar.
- O SPNEGO pode ser customizado no nível de domínio de segurança do WebSphere. Leia sobre Domínios de Segurança Múltiplos para obter informações adicionais.
Você pode ativar o SPNEGO TAI ou a Autenticação da Web de SPNEGO, mas não ambos.
As seções a seguir descrevem a autenticação da Web SPNEGO em mais detalhes:
- O que é SPNEGO?
- Os Benefícios da Autenticação da Web SPNEGO
- Autenticação da Web SPNEGO em uma Região do Kerberos Única
- Autenticação da Web SPNEGO em uma Região do Kerberos Confiável
- Informações de Suporte para a Autenticação da Web do SPNEGO com um Cliente Java Usando o Protocolo HTTP
- Informações de Suporte para Autenticação da Web do SPNEGO com um Cliente do Navegador
- Configurando o SPNEGO como Mecanismo de Autenticação da Web para o WebSphere Application Server
O que é SPNEGO?
SPNEGO é uma especificação padrão definida em The Simple and Protected GSS-API Negotiation Mechanism (IETF RFC 2478).
Quando as seguranças global e do aplicativo do WebSphere Application Server forem ativadas e a autenticação da Web SPNEGO for ativada, o SPNEGO será inicializado quando processar uma primeira solicitação de HTTP de entrada. O componente autenticador da Web então interage com o SPNEGO, que é definido e ativado no repositório de configuração de segurança. Quando o critério de filtragem é atendido, o SPNEGO é responsável por autenticar o acesso ao recurso protegido que é identificado no pedido HTTP.
Domínio do Microsoft Windows Servers com Active Directory e o Kerberos Key Distribution Center (KDC) associado. Para obter informações sobre o Microsoft Windows Servers, consulte os Requisitos do Sistema para o WebSphere Application Server Versão 9.0 no Windows.
- Um aplicativo cliente, por exemplo, o Microsoft .NET ou o serviço da web e o cliente J2EE que suportam o mecanismo de autenticação da web SPNEGO, conforme definido no IETF RFC 2478. O Microsoft Internet Explorer Versão 5.5 ou posterior e o Mozilla Firefox Versão 1.0 são exemplos de navegadores. Qualquer navegador deve ser configurado para usar o mecanismo de autenticação da Web SPNEGO. Para obter informações adicionais sobre como executar essa configuração, consulte Configurando o Navegador do Cliente para Utilizar SPNEGO.
A autenticação de pedidos de HTTP é acionada pelo solicitante (o lado do cliente), que gera um token SPNEGO. O WebSphere Application Server recebe esse token. Especificamente, a autenticação da Web SPNEGO decodifica e recupera a identidade do solicitante a partir do token do SPNEGO. A identidade é utilizada para estabelecer um contexto seguro entre o solicitante e o servidor de aplicativos.
A autenticação da Web SPNEGO é uma solução do lado do servidor WebSphere Application Server. Os aplicativos do lado do cliente são responsáveis por gerar o token SPNEGO para uso pela autenticação da Web SPNEGO. A identidade do solicitante no registro de segurança do WebSphere Application Server deve ser idêntica à identidade que a autenticação da Web SPNEGO recupera. Uma correspondência idêntica ocorre quando o servidor Active Directory do Microsoft Windows é o servidor Lightweight Directory Access Protocol (LDAP) usado no WebSphere Application Server. Um módulo de login customizado está disponível como um plug-in para suportar mapeamento customizado da identidade a partir do Active Directory para o registro de segurança do WebSphere Application Server.
Leia o
Mapeamento de um Nome de Proprietário do Kerberos do Cliente para o ID do Registro do Usuário do WebSphere para obter mais
informações sobre como usar esse módulo de login customizado.
O WebSphere Application Server valida a identidade com relação ao seu registro de segurança. Se a validação for bem-sucedida, o registro Kerberos do cliente e a credencial de delegação GSS serão recuperados e colocados no elemento do cliente, que então produz um token de segurança LTPA (Lightweight Third Party Authentication). Em seguida, ele coloca e retorna um cookie para o solicitante na resposta HTTP. Solicitações de HTTP subsequentes a partir desse mesmo solicitante para acessar recursos protegidos adicionais no WebSphere Application Server usam o token de segurança LTPA anteriormente criado para evitar desafios de login repetitivos.
O administrador da Web tem acesso aos seguintes componentes de segurança SPNEGO e aos dados de configuração associados, como mostra a figura a seguir:

Os Benefícios da Autenticação da Web SPNEGO
Os benefícios de usar o WebSphere Application Server use SPNEGO como o serviço de autenticação da Web para o WebSphere Application Server incluem o seguinte:
É estabelecido um ambiente de conexão única integrado com o Microsoft Windows Servers usando o domínio Active Directory.
- O custo de administração de um grande número de ids e senhas é reduzido.
- É estabelecida uma transmissão segura e mutuamente autenticada de credenciais de segurança do navegador da web ou de clientes Microsoft .NET.
- A interoperabilidade com os serviços da web e aplicativos de serviço da web Microsoft .NET, que usam a autenticação do SPNEGO no nível de transporte é alcançada.
- Com o suporte de autenticação Kerberos, a autenticação da Web SPNEGO pode fornecer uma solução SPNEGO para Kerberos de ponta a ponta e preservar a credencial Kerberos a partir do cliente.
Autenticação da Web SPNEGO em uma Região do Kerberos Única
A autenticação da Web SPNEGO é suportada em uma região do Kerberos única. O processo do protocolo de reconhecimento de desafio/resposta é mostrado na figura a seguir:

Na figura anterior, os eventos a seguir ocorrem:
- O cliente envia uma solicitação HTTP/Post/Get/Web-Service para o WebSphere Application Server.
- O WebSphere Application Server retorna HTTP 401 Autenticar/Negociar.
- O cliente obtém um TGT (Ticket Granting Ticket).
- O cliente solicita um Registro de Serviço (TGS_REQ).
- O cliente obtém um Registro de Serviço (TGS_REP).
- O cliente envia HTTP/Post/Get/Web-Service e um token SPNEGO de autorização para WebSphere Application Server.
- O WebSphere Application Server valida o token SPNEGO. Se a validação for bem-sucedida, ele recupera o ID do usuário e a credencial de delegação GSS do token SPNEGO. Crie um KRBAuthnToken com uma credencial Kerberos de cliente.
- O WebSphere Application Server valida o ID do usuário com o registro do usuário do WebSphere e cria um token LTPA.
- O WebSphere Application Server retorna HTTP 200, conteúdo e o token LTPA para o cliente.
Autenticação da Web SPNEGO em uma Região do Kerberos Confiável
A autenticação da Web SPNEGO é também é suportada em uma região do Kerberos confiável. O processo do protocolo de reconhecimento de desafio/resposta é mostrado na figura a seguir:

Na figura anterior, os eventos a seguir ocorrem:
- O cliente envia uma solicitação HTTP/Post/Get/Web-Service para o WebSphere Application Server.
- O WebSphere Application Server retorna HTTP 401 Autenticar/Negociar.
- O cliente obtém um TGT (Ticket Granting Ticket).
- O cliente solicita um registro entre regiões (TGS_REQ) para REGIÃO2 no KDC da REGIÃO1.
- O cliente utiliza o registro entre regiões da etapa 4 para solicitar um Registro de Serviço do KDC da REGIÃO2.
- O cliente envia HTTP/Post/Get/Web-Service e um token SPNEGO de autorização para WebSphere Application Server.
- O WebSphere Application Server valida o token SPNEGO. Se a validação for bem-sucedida, ele recupera o ID do usuário e a credencial de delegação GSS do token SPNEGO. Crie um KRBAuthnToken com uma credencial Kerberos de cliente.
- O WebSphere Application Server valida o ID do usuário com o registro do usuário do WebSphere e cria um token LTPA.
- O WebSphere Application Server retorna HTTP 200, conteúdo e o token LTPA para o cliente.
No ambiente de regiões confiáveis do Kerberos, lembre-se do seguinte:
- A configuração de região confiável do Kerberos deve ser executada em cada KDC do Kerberos. Consulte o Guia do Usuário e do Administrador Kerberos para obter informações adicionais sobre como configurar regiões confiáveis do Kerberos.
- O nome do principal do cliente Kerberos a partir do token SPNEGO pode não existir no
registro do usuário do WebSphere; esse
nome poderá ser solicitado pelo mapeamento
do principal do Kerberos para o registro do usuário do WebSphere.
Leia sobre
Mapeamento de um Nome de Proprietário do Kerberos do Cliente para o ID do Registro do Usuário do WebSphere para obter informações adicionais.
Informações de Suporte para a Autenticação da Web do SPNEGO com um Cliente Java™ Usando o Protocolo HTTP
- Confiança de domínio na mesma floresta
- Confiança de domínio externo diretamente entre domínios em diferentes florestas.
- Região confiável de região do Kerberos
- Região confiável entre florestas
- Confiança externa da floresta
Informações de Suporte para Autenticação da Web do SPNEGO com um Cliente do Navegador
- Regiões confiáveis entre florestas
- Confiança de domínio na mesma floresta
- Região confiável de região do Kerberos
- Regiões confiáveis externas de floresta
- Regiões confiáveis externas de domínio