实现单点登录以最小化 Web 用户认证
通过单点登录 (SSO) 支持,Web 用户可在跨多个 WebSphere® Application Server 访问 Web 资源时只认证一次。Web 应用程序的表单登录机制要求启用 SSO。使用本主题首次配置单点登录。
开始之前
仅当轻量级第三方认证 (LTPA) 作为认证机制时,才支持 SSO。
当轻量级第三方认证 (LTPA) 作为认证机制时,支持
SSO。
当启用 SSO 时,创建包含 LTPA 令牌的 cookie 并将该 cookie 插入到 HTTP 响应中。当用户访问同一域名服务 (DNS) 域中任何其他 WebSphere Application Server 进程中的其他 Web 资源时,在请求中发送 cookie。然后,从 cookie 中抽取 LTPA 令牌并验证。如果请求在 WebSphere Application Server 的不同单元间,那么必须在单元间共享 LTPA 密钥和用户注册表,以使 SSO 能够工作。SSO 域中每个系统上的域名是区分大小写的,且必须完全匹配。
对于本地操作系统,如果正在使用领域,那么领域名是域名。如果未在使用域,那么领域名是机器名。
领域名与主机名相同。
对于轻量级目录访问协议 (LDAP),领域名是 LDAP 服务器的 host:port 领域名。如果任何 Web 应用程序用表单登录作为认证方法,那么 LTPA 认证机制要求启用 SSO。
因为单点登录是 LTPA 的子集,所以建议您阅读轻量级第三方认证,以了解更多信息。
启用安全性属性传播时,会始终将以下 cookie 添加到响应:
注: 对于
WebSphere Application Server V5.1.0.2 之前的发行版,将生成 LtpaToken。对于
WebSphere Application Server V5.1.0.2 和更高版本,将生成 LtpaToken2。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
注: 对于
WebSphere Application Server V5.1.1 之前的发行版,将生成 LtpaToken。对于
WebSphere Application Server V5.1.1 和更高版本,将生成 LtpaToken2。
- LtpaToken2
- LtpaToken2 包含更强的加密,且允许您将多个属性添加到令牌。此令牌包含认证标识和其他信息,例如,在确定唯一性时不仅要考虑标识的情况下,还会需要用于联系原始登录服务器的属性和用于查询主体集的唯一高速缓存密钥。注: 如果互操作性方式标志处于已启用状态,那么会选择性地将以下 cookie 添加到响应:
- LtpaToken
- LtpaToken 用于与 WebSphere Application Server 的前发行版互操作。此令牌只包含认证标识属性。
![[z/OS]](../images/ngzos.gif)
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
令牌类型 | 用途 | 如何指定 |
---|---|---|
仅 LtpaToken2 | 这是缺省令牌类型。它使用 AES-CBC-PKCS5 填充加密强度(128 位密钥大小)。此令牌强于 WebSphere Application Server V6.02 之前使用的旧 LtpaToken。不必与旧发行版进行互操作时,建议使用此选项。 | 禁用管理控制台中 SSO 配置面板中的互操作性方式选项。要访问此面板,请完成以下步骤:
|
LtpaToken 和 LtpaToken2 | 用来与 WebSphere Application Server V5.1.1 之前的发行版进行互操作。旧的 LtpaToken cookie 与新的 LtpaToken2 cookie 一起存在。如果已正确共享 LTPA 密钥,那么您应该能够使用此选项与 WebSphere 的任何版本进行互操作。 | 启用管理控制台中 SSO 配置面板中的互操作性方式选项。要访问此面板,请完成以下步骤:
|
关于此任务
需要以下步骤以为第一次的使用配置 SSO。
过程
下一步做什么
要使更改生效,请保存、停止并重新启动所有产品 Deployment Manager、节点和服务器。