使用 LTPA cookie 进行认证的单点登录
借助单点登录 (SSO) 支持,web 用户在访问 WebSphere® Application Server 资源(如 HTML、JavaServer Pages (JSP) 文件、Servlet 和企业 Bean)和 Lotus® Domino® 资源(如 Domino 数据库中的文档)或者访问多个 WebSphere Application Server 域中的资源时可以认证一次。
分布在多个节点和单元中的应用程序服务器之间可以使用轻量级第三方认证 (LTPA) 协议来安全地进行通信。LTPA 用于分布式、多应用程序服务器和机器环境。LTPA 通过密码术可支持分布式环境中的安全性。此支持允许 LTPA 进行加密、数字签名和安全地传输与认证相关的数据,并在以后对该签名进行解密和验证。
LTPA 还提供 SSO 功能。使用此功能时,用户只需在域名系统 (DNS) 域中进行一次认证,就可以访问其他 WebSphere Application Server 单元中的资源,而不会再看到认证提示。Web 用户只需对 WebSphere Application Server 或 Domino 服务器认证一次。此认证通过将 WebSphere Application Server 和 Domino 服务器配置为共享认证信息来完成。
无需再次登录,web 用户就可以访问同一 DNS 域中启用了 SSO 的其他 WebSphere Application Server 或 Domino 服务器。通过为 WebSphere Application Server 配置 SSO,可以在 WebSphere Application Server 之间启用 SSO。要在 WebSphere Application Server 和 Domino 服务器之间启用 SSO,您必须为 WebSphere Application Server 和 Domino 都配置 SSO。
先决条件和情况
- 验证所有服务器都作为同一 DNS 域的一部分配置。每个系统上的 DNS 域中的领域名是区分大小写的,并且必须完全匹配。例如,如果 DNS 域指定为 mycompany.com,那么 SSO 对于主机上的任何 Domino 服务器或 WebSphere Application Server 是有效的,该主机是 mycompany.com 域的一部分,例如,a.mycompany.com 和 b.mycompany.com。注意: 不支持跨域 SSO,例如 z.AAAcompany.com 和 w.BBBcompany.com,它们的 DNS 域不同。
- 验证所有服务器是否共享同一注册表。
Domino 服务器不支持独立的定制注册表,但 Domino 支持的注册表可以作为 WebSphere Application Server 内独立的定制注册表使用。此注册表可以是受支持的轻量级目录访问协议 (LDAP) 目录服务器,也可以是独立的定制注册表(如果在两个 WebSphere Application Server 之间配置了 SSO)。
您可以将为 LDAP 访问配置的 Domino 目录或其他 LDAP 目录用于注册表。LDAP 目录产品必须有 WebSphere Application Server 支持。受支持的产品包括 Domino 服务器和 LDAP 服务器,例如 IBM® Tivoli® Directory Server。无论选择使用 LDAP 还是独立的定制注册表,SSO 配置都相同。不同之处在于注册表的配置。
- 在单个 LDAP 目录中定义所有用户。也不支持使用多个 Domino 目录辅助文档来访问多个目录。
- 在浏览器中启用 HTTP cookie,这是因为由服务器生成的认证信息将采用 cookie 的方式传输到浏览器。此 cookie 用于将用户的认证信息传播到其他服务器中,而免除了用户将每个请求的认证信息输入到不同的服务器中。
- 对于 Domino 服务器:
- 支持用于 iSeries 和其他平台的 Domino R6.5.4。
- 为 SSO 配置 Domino 服务器需要 Lotus Notes® Client R5.0.5 或更高版本。
- 您可以在多个 Domino 域之间共享认证信息。
- 对于 WebSphere Application Server:
- 支持所有平台的 WebSphere Application Server V3.5 或更高版本。
- 可以使用 WebSphere Application Server 支持的任何 HTTP Web 服务器。
- 您可以跨越多个产品管理域共享认证信息。
- 支持使用基本和表单登录机制的基本认证(用户标识和密码)。
注: Web 应用程序的表单登录机制要求启用 SSO。
- 缺省情况下,WebSphere Application Server 对权限执行区分大小写的比较。此比较意指由 Domino 认证的用户应该完全与 WebSphere Application Server 授权表中的条目(包括基本专有名称)匹配。如果不打算对权限区分大小写,那么启用 LDAP 用户注册表设置中的忽略大小写属性。