TAMeb(IBM Tivoli Access Manager for e-business)是IBM 实现企业单点登录的解决方案产品之一,通过TAMeb 能集中进行应用级别的认证和授权,实现不同类型系统的单点登录。下面就简单介绍一下TAMeb 实现用户单点登录的几种方式:1、基于LTPA;2、代填表单;3、数字证书;4、基于HTTP 请求头。 1. 基于LTPA 的单点登录 名词说明: LTPA(Lightweight third party)是IBM 提供的基于cookie 的轻量级的认证方式,如果需要实现SSO 的环境为IBM 提供的各种中间件,那么使用LTPA 将是最佳的方式。 Webseal 是TAM(Tivoli Access manager)的关键组件,它相当于一个反向代理器,所有的请求将被它所截获,然后由它进行处理转发。 场景描述: 当用户发出一个URL 请求到WAS(Websphere Application Server)等支持LTPA(Domino、WPS)的应用,系统要求输入“用户/密码”,输入并提交后用户就可以访问这个WAS 的应用,接着当用户再访问Domino 等其它支持LTPA 的应用,此时无需再次输入“用户/密码”信息即可以访问Domino(等其它支持LTPA)下的web 应用了。 过程说明: 首先需要在多个服务器以及TAM 的Webseal上配置基于LTPA 的信任关系,经 过配置后的服务器之间建 立 了信任,当其中一个服务器认证通过后,再去 访问其它已 经 建 立 过信任关系的服务器时,因 为它们 之间彼 此是信任的,所以就无需再次认证了。 下面以WAS 、Domino 和Webseal来 简单说明一下LTPA 信任的配置过程: ◆ 在WAS Server上生 成LTPA Key ,并启 用LTPA 进行安 全 认证 ◆ 在Domino Server 导 入上面生 成 的LTPA Key,并配置Domino Server 使用LTPA 进行认证 ◆ 在Webseal 上基于上面生 成 的LTPA Key 创 建 到WAS 和Domino 的Junction 通过上述配置就完 成 了基于LTPA 的单点登录,下面以图 示 来 详 细 说明认证过程的流 程: (1) 用户发出一个URL 请求到WAS,此请求被Webseal 拦截,Webseal 定向到它内置的一个form 表单,要求输入用户/密码进行认证; (2) Webseal 拿着输入的用户/密码到LDAP server 进行用户鉴别; (3) Webseal 认证成功后生成一个LTPA 的Token,并将请求转发到WAS端,WAS 收到请求后,发现此请求含有LTPA 的Token,因为之前已经配置了它和Webseal 以及Domino 的信任关系,所以WAS 不再要求进行认证,直接将请求的响应返回,...
