单点登录设置

使用此页面来设置单点登录 (SSO) 的配置值。

要查看此管理控制台页面,请完成下列步骤:
  1. 单击安全性 > 全局安全性
  2. 认证下,单击 Web 和 SIP 安全性 > 单点登录 (SSO)

“将安全性 Cookie 设置为 HTTPOnly 以抵抗跨站点脚本编制攻击”复选框已添加到此发行版的“单点登录设置”页面。HttpOnly 属性是一个浏览器属性,创建该属性是为了阻止客户机端应用程序(例如 Java™ 脚本)访问 Cookie,从而阻止某些跨站点脚本编制漏洞。此属性指定 LTPA 和 WASReqURL Cookie 包含 HTTPOnly 字段。

已启用

指定启用单点登录功能。

使用 Java EE FormLogin 样式登录页面(例如管理控制台)的 Web 应用程序要求启用单点登录 (SSO)。仅对于某些不需要 LTPA SSO 类型 Cookie 的高级配置,才应该禁用 SSO。

信息
数据类型: 布尔型
缺省值: 已启用
范围: 已启用或已禁用

需要 SSL

指定仅当通过 HTTPS 安全套接字层 (SSL) 连接进行请求时,才启用单点登录功能。启用了此属性时,会自动启用安全性。

信息
数据类型: 布尔型
缺省值: 禁用
范围: 已启用或已禁用

域名

指定所有单点登录主机的域名(例如 .ibm.com)。

应用程序服务器从左到右使用第一个句点后的所有信息作为域名。如果未定义此字段,Web 浏览器就会使域名缺省为正在运行 Web 应用程序的主机名。并且,单点登录功能将仅对该应用程序服务器主机名有效,而对该域中的其他应用程序服务器主机名不起作用。

可以指定多个由分号 (;)、空格 ( )、逗号 (,) 或竖线 (|) 分隔的域。每个域将与 HTTP 请求的主机名作比较,直到找到第一个匹配项为止。例如,如果指定 ibm.com;austin.ibm.com,并且首先在 ibm.com 域中找到匹配项,那么应用程序服务器不匹配 austin.ibm.com 域。但是,如果在 ibm.com 和 austin.ibm.com 中都找不到匹配项,应用程序服务器就不设置 LtpaToken cookie 的域。

避免故障 避免故障:
  • 会话管理器使用安全随机生成器来生成会话标识。在 setCookie 方法中创建了 Cookie 时,会将会话标识写入此 Cookie。会话管理器不会将 LtpaToken 设置为 Cookie。
  • 在“域名”字段中使用多个域名不一定会使您能够在单个会话期间使用不同的域名。例如,如果域名包含值 ibm.com;lotus.com,那么您只能在成功通过 SSO 登录 www.ibm.com 或 www.lotus.com(但不是这两者)的情况下访问服务器,这是因为浏览器会控制是否发送 LTPA Cookie。
gotcha

如果指定了 UseDomainFromURL 值,应用程序服务器就会将 SSO 域名值设置为 Web 地址中使用的主机的域。例如,如果 HTTP 请求来自 server1.raleigh.ibm.com,应用程序服务器就会将 SSO 域名值设置为 raleigh.ibm.com

提示: UseDomainFromURL 不区分大小写。可以输入 usedomainfromurl 以使用此值。
信息
数据类型: 字符串

互操作性方式

指定将可互操作的 Cookie 发送到浏览器以支持后备级别服务器。

WebSphere Application Server V6 和更高版本中,安全性属性传播功能需要使用新的 Cookie 格式。启用互操作性方式标志后,服务器最多可以将两个单点登录 (SSO)Cookie 发送回给浏览器。在某些情况下,服务器只发送可互操作的 SSO cookie。

Web 入站安全性属性传播

启用 Web 入站安全性属性传播后,就会将安全性属性传播到前端应用程序服务器。禁用此选项后,将使用单点登录 (SSO) 令牌来登录并根据用户注册表重新创建主体集。

如果应用程序服务器是某个集群的成员,并且已将该集群配置为包含数据复制服务 (DRS) 域,那么将发生传播。如果未配置 DRS,那么 SSO 令牌将包含始发服务器信息。

接收服务器可以使用此信息来与始发服务器联系并通过 MBean 调用来获取序列化的原始安全属性。

将安全性 Cookie 设置为 HTTPOnly 以抵抗跨站点脚本编制攻击

HttpOnly 属性是一个浏览器属性,创建它以阻止客户端应用程序(例如 Java 脚本)访问 cookie,以便阻止某些跨站点脚本编制攻击。此属性指定 LTPA 和 WASReqURL Cookie 包含 HTTPOnly 字段。

对于会话 cookie,请参阅“服务器、应用程序和 Web 模块的会话设置”。

信息
数据类型: 布尔值
缺省值: 已启用
范围: 已启用或已禁用

LTPA V2 Cookie 名称

使用此字段来设置新的 com.ibm.websphere.security.customLTPACookieName 和 com.ibm.websphere.security.customSSOCookieName 定制属性。

com.ibm.websphere.security.customLTPACookieName 定制属性用来定制用于轻量级第三方认证 (LTPA) 令牌的 Cookie 的名称。

com.ibm.websphere.security.customSSOCookieName 定制属性用来定制用于轻量级第三方认证 V2 (LTPA2) 令牌的 Cookie 的名称。

有关每个属性的更详细信息,请阅读“安全性定制属性”主题。


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=usec_sso
文件名:usec_sso.html