实现单点登录以最小化 Web 用户认证

通过单点登录 (SSO) 支持,Web 用户可在跨多个 WebSphere® Application Server 访问 Web 资源时只认证一次。Web 应用程序的表单登录机制要求启用 SSO。使用本主题首次配置单点登录。

开始之前

[AIX Solaris HP-UX Linux Windows][IBM i]仅当轻量级第三方认证 (LTPA) 作为认证机制时,才支持 SSO。

[z/OS]当轻量级第三方认证 (LTPA) 作为认证机制时,支持 SSO。

当启用 SSO 时,创建包含 LTPA 令牌的 cookie 并将该 cookie 插入到 HTTP 响应中。当用户访问同一域名服务 (DNS) 域中任何其他 WebSphere Application Server 进程中的其他 Web 资源时,在请求中发送 cookie。然后,从 cookie 中抽取 LTPA 令牌并验证。如果请求在 WebSphere Application Server 的不同单元间,那么必须在单元间共享 LTPA 密钥和用户注册表,以使 SSO 能够工作。SSO 域中每个系统上的域名是区分大小写的,且必须完全匹配。

[Windows]对于本地操作系统,如果正在使用领域,那么领域名是域名。如果未在使用域,那么领域名是机器名。

[Linux][AIX HP-UX Solaris][IBM i]领域名与主机名相同。

对于轻量级目录访问协议 (LDAP),领域名是 LDAP 服务器的 host:port 领域名。如果任何 Web 应用程序用表单登录作为认证方法,那么 LTPA 认证机制要求启用 SSO。

因为单点登录是 LTPA 的子集,所以建议您阅读轻量级第三方认证,以了解更多信息。

启用安全性属性传播时,会始终将以下 cookie 添加到响应:
LtpaToken2
LtpaToken2 包含更强的加密,且允许您将多个属性添加到令牌。此令牌包含认证标识和其他信息,例如,在确定唯一性时不仅要考虑标识的情况下,还会需要用于联系原始登录服务器的属性和用于查询主体集的唯一高速缓存密钥。
注: 如果互操作性方式标志处于已启用状态,那么会选择性地将以下 cookie 添加到响应:
LtpaToken
LtpaToken 用于与 WebSphere Application Server 的前发行版互操作。此令牌只包含认证标识属性。
[z/OS]注: 对于 WebSphere Application Server V5.1.0.2 之前的发行版,将生成 LtpaToken。对于 WebSphere Application Server V5.1.0.2 和更高版本,将生成 LtpaToken2。
[AIX Solaris HP-UX Linux Windows][IBM i]注: 对于 WebSphere Application Server V5.1.1 之前的发行版,将生成 LtpaToken。对于 WebSphere Application Server V5.1.1 和更高版本,将生成 LtpaToken2。
表 1. LTPA 令牌类型. 此表描述 LTPA 令牌类型。
令牌类型 用途 如何指定
仅 LtpaToken2 这是缺省令牌类型。它使用 AES-CBC-PKCS5 填充加密强度(128 位密钥大小)。此令牌强于 WebSphere Application Server V6.02 之前使用的旧 LtpaToken。不必与旧发行版进行互操作时,建议使用此选项。 禁用管理控制台中 SSO 配置面板中的互操作性方式选项。要访问此面板,请完成以下步骤:
  1. 单击安全性 > 全局安全性
  2. 在“Web 安全性”下,单击单点登录 (SSO)
LtpaToken 和 LtpaToken2 用来与 WebSphere Application Server V5.1.1 之前的发行版进行互操作。旧的 LtpaToken cookie 与新的 LtpaToken2 cookie 一起存在。如果已正确共享 LTPA 密钥,那么您应该能够使用此选项与 WebSphere 的任何版本进行互操作。 启用管理控制台中 SSO 配置面板中的互操作性方式选项。要访问此面板,请完成以下步骤:
  1. 单击安全性 > 全局安全性
  2. 在“Web 安全性”下,单击单点登录 (SSO)

关于此任务

需要以下步骤以为第一次的使用配置 SSO。

过程

  1. 打开管理控制台。

    [AIX Solaris HP-UX Linux Windows][z/OS]在 Web 浏览器中输入 http://localhost:port_number/ibm/console 以访问管理控制台。

    [IBM i]在 Web 浏览器中输入 http://server_name:port_number/ibm/console 以访问管理控制台。

    端口 9060 是用于访问管理控制台的缺省端口号。但是,在安装期间,您可能已指定另一个端口号。请使用适当的端口号。

  2. 单击安全性 > 全局安全性
  3. 在“Web 安全性”下,单击单点登录 (SSO)
  4. 如果禁用了 SSO,请单击启用选项。 单击启用选项后,确保完成剩余的步骤以启用安全性。
  5. 如果需要所有请求使用 HTTPS,请单击需要 SSL
  6. 在 SSO 有效的域名字段中输入标准域名。 如果指定域名,那么这些域名必须是标准的。如果域名不是标准域名,那么 WebSphere Application Server 不为 LtpaToken cookie 设置域名值,且 SSO 只对创建该 cookie 的服务器有效。

    指定多个域时,可以使用以下定界符:分号 (;)、空格 ( )、逗号 (,) 或管道 (|)。WebSphere Application Server 按从左至右的顺序搜索指定的域。每个域将与 HTTP 请求的主机名作比较,直到找到第一个匹配项为止。例如,如果指定 ibm.com®; austin.ibm.com 并先在 ibm.com 域中找到匹配项,那么 WebSphere Application Server 将不继续在 austin.ibm.com 域中搜索匹配项。但是,如果在 ibm.com 或 austin.ibm.com 域中找不到匹配项,那么 WebSphere Application Server 不设置 LtpaToken cookie 的域。

    表 2. 用来配置域名字段的值.

    此表描述用来配置域名字段的值。

    域名值类型 示例 用途
    空白   未设置域。这会导致浏览器将域设为请求主机名。登录仅在该单个主机上有效。
    单个域名 austin.ibm.com 如果请求将发送到已配置域内的主机,那么登录对该域中的所有主机有效。否则,登录仅对请求主机名有效。
    UseDomainFromURL UseDomainFromURL 如果请求将发送到已配置域内的主机,那么登录对该域中的所有主机有效。否则,登录仅对请求主机名有效。
    多个域名 austin.ibm.com;raleigh.ibm.com 登录对请求主机名的域内所有主机有效。
    注意: 跨域 SSO 不受支持。例如,chicago.xxx.comcleveland.yyy.com,它们的 DNS 域不同。
    多个域名和 UseDomainFromURL austin.ibm.com;raleigh.ibm.com; UseDomainFromURL 登录对请求主机名的域内所有主机有效。
    注意: 跨域 SSO 不受支持。例如,chicago.xxx.comcleveland.yyy.com,它们的 DNS 域不同。
    如果指定 UseDomainFromURL,那么 WebSphere Application Server 将 SSO 域名值设为发出请求的主机的域。例如,如果 HTTP 请求来自 server1.raleigh.ibm.com,那么 WebSphere Application Server 将 SSO 域名值设为 raleigh.ibm.com
    提示:UseDomainFromURL 不区分大小写。可以输入 usedomainfromurl 以使用此值。

    有关更多信息,请参阅单点登录设置

  7. 可选: 如果要支持 WebSphere Application Server V5.1.1 或更高版本中的 SSO 连接与应用程序服务器的先前版本互操作,请启用互操作性方式选项。

    此选项将旧样式的 LtpaToken 令牌设置到响应中,因此它可以发送到仅使用此令牌类型的其他服务器。否则,只将 LtpaToken2 令牌添加到响应。

    如果考虑性能,您仅连接至 V6.1 或更高版本服务器且这些服务器未在运行依赖于 LtpaToken 的产品,请不要启用互操作性方式。如果未启用互操作性方式,那么响应中不会返回 LtpaToken。

  8. 可选: 如果希望将在特定前端服务器登录期间添加的信息传播到其他前端服务器,那么启用 Web 入站安全性属性传播选项。 SSO 令牌未包含任何敏感属性,但在需要与原始登录服务器联系以检索已序列化信息时,需要了解该服务器的位置。如果在同一 DRS 复制域中配置了两台前端服务器,那么它还包含高速缓存查找值以查找 DynaCache 中序列化的信息。有关更多信息,请参阅安全性属性传播
    要点: 如果符合以下的描述,那么建议您出于性能原因禁用 Web 入站安全性属性传播选项:
    • 在登录期间,未将无法在另一台前端服务器获取的任何特定信息添加到主体集。
    • 未使用 WSSecurityHelper 应用程序编程接口 (API) 将定制属性添加到 PropagationToken 令牌。
    如果发现主体集中缺少定制信息,那么重新启用 Web 入站安全性属性传播选项以查看该信息是否成功传播到其他前端应用程序服务器。
    以下两个定制属性在启用安全性属性传播时可能有助于改进性能:
    • com.ibm.CSI.propagateFirstCallerOnly

      此属性的缺省值为 true。如果此定制属性设置为 true,且安全性属性传播处于已启用状态,那么会记录传播令牌中存在于线程上的第一个调用者。此属性设置为 False 时,系统会记录所有调用者开关,这可能会影响性能。

    • com.ibm.CSI.disablePropagationCallerList

      将此定制属性设置为 true 后,将完全禁用添加传播令牌中的调用者或主机列表的能力。当环境中不需要使用传播令牌中的调用者或主机列表时,此功能就很有用。

  9. 单击确定

下一步做什么

要使更改生效,请保存、停止并重新启动所有产品 Deployment Manager、节点和服务器。


指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_msso
文件名:tsec_msso.html