用于认证的单点登录
借助单点登录 (SSO) 支持,Web 用户在访问 WebSphere® Application Server 资源(例如,HTML、JavaServer Pages (JSP) 文件、Servlet 和企业 Bean)和 Lotus® Domino® 资源(例如,Domino 数据库中的文档)或者访问多个 WebSphere Application Server 域中的资源时,可以进行一次认证。
可通过多种方式来完成 SSO,在 WebSphere 中最常用的方式是使用 LTPA cookie。LTPA cookie 不需要任何特定客户机,并且只要注册表密钥和 LTPA 密钥相同,就允许跨不同单元执行 SSO。
存在其他类型的 SSO,包括“简单且受保护的 GSS-API 协商”(SPNEGO),它是使用 Kerberos 登录(通常针对 Windows)中的令牌向 WebSphere Application Server 进行认证的方式。这使用户不必再次输入其用户标识和密码。
注: 在 WebSphere Application Server V6.1 中引入了一个信任关联拦截器 (TAI),TAI 使用“简单且受保护的 GSS-API 协商机制” (SPNEGO) 来对安全资源的 HTTP 请求进行安全地协商和认证。在 WebSphere Application Server 7.0 中已不推荐使用此功能。SPNEGO Web 认证已取代该 TAI,以提供动态重新装入 SPNEGO 过滤器的功能以及对应用程序登录方法启用回退。
TAI 在与执行前端认证的代理服务器组合在一起使用时,也是单点登录的一种形式。TAI 允许凭证从代理服务器流向 WebSphere,并允许使用凭证进行登录,而不需要重新认证用户。