单点登录技术实现(IBM) TAMeb 是 IBM 实现企业单点登录的解决方案产品之一,通过 TAMeb 能集中进行应用级别的认证和授权,实现不同类型系统的单点登录。下面就简单介绍一下 TAMeb 实现用户单点登录的几种方式:1、基于 LTPA;2、代填表单;3、数字证书;4、基于 HTTP 请求头。 1. 基于 LTPA 的单点登录 名词说明: LTPA(Lightweight third party authentication)是 IBM 提供的基于 cookie 的轻量级的认证方式,如果需要实现 SSO 的环境为 IBM 提供的各种中间件,那么使用 LTPA 将是最佳的方式。 Webseal 是 TAM(Tivoli Access manager)的关键组件,它相当于一个反向代理器,所有的请求将被它所截获,然后由它进行处理转发。 场景描述: 当用户发出一个 URL 请求到 WAS(Websphere Application Server)等支持 LTPA(Domino、WPS)的应用,系统要求输入“用户/密码”,输入并提交后用户就可以访问这个 WAS 的应用,接着当用户再访问Domino 等其它支持 LTPA 的应用,此时无需再次输入“用户/密码”信息即可以访问Domino(等其它支持 LTPA)下的 web 应用了。 过程说明: 首先需要在多个服务器以及TAM 的 Webseal 上配置基于 LTPA 的信任关系,经过配置后的服务器之间建立了信任,当其中一个服务器认证通过后,再去访问其它已经建立过信任关系的服务器时,因为它们之间彼此是信任的,所以就无需再次认证了。 下面以WAS、Domino 和 Webseal 来简单说明一下 LTPA 信任的配置过程: ◆ 在WAS Server 上生成 LTPA Key,并启用 LTPA 进行安全认证 ◆ 在Domino Server 导入上面生成的 LTPA Key,并配置Domino Server 使用 LTPA 进行认证 ◆ 在Webseal 上基于上面生成的 LTPA Key创建到 WAS 和 Domino 的 Junction 通过上述配置就完成了基于 LTPA 的单点登录,下面以图示来详细说明认证过程的流程: (1) 用户发出一个URL 请求到WAS,此请求被Webseal 拦截,Webseal 定向到它内置的一个form 表单,要求输入用户/密码进行认证; (2) Webseal 拿着输入的用户/密码到LDAP server 进行用户鉴别; (3) Webseal认证成功后生成一个LTPA 的Token,并将请求转发到WAS 端,WAS 收到请求后,发现此请求含有LTPA 的Token,因为之前已经配置了它和Webseal 以及Domino 的信任关系,所以WAS 不再要求进行认证,直接将请求的响应返回,用户收到所需的页面信息响应;...
