单点登录技术实现(IBM)
TAMeb 是 IBM 实现企业单点登录的解决方案产品之一,通过 TAMeb 能集中进行应用级别的认
证和授权,实现不同类型系统的单点登录。下面就简单介绍一下 TAMeb 实现用户单点登录的
几种方式:1、基于 LTPA;2、代填表单;3、数字证书;4、基于 HTTP 请求头。
1. 基于 LTPA 的单点登录
名词说明:
LTPA(Lightweight third party authentication)是 IBM 提供的基于 cookie 的轻量级的认证方
式,如果需要实现 SSO 的环境为 IBM 提供的各种中间件,那么使用 LTPA 将是最佳的方式。
Webseal 是 TAM(Tivoli Access manager)的关键组件,它相当于一个反向代理器,所有的
请求将被它所截获,然后由它进行处理转发。
场景描述:
当用户发出一个 URL 请求到 WAS(Websphere Application Server)等支持
LTPA(Domino、WPS)的应用,系统要求输入“用户/密码”,输入并提交后用户就可以访问这个
WAS 的应用,接着当用户再访问 Domino 等其它支持 LTPA 的应用,此时无需再次输入“用户/
密码”信息即可以访问 Domino(等其它支持 LTPA)下的 web 应用了。
过程说明:
首先需要在多个服务器以及 TAM 的 Webseal 上配置基于 LTPA 的信任关系,经过配置后
的服务器之间建立了信任,当其中一个服务器认证通过后,再去访问其它已经建立过信任关系
的服务器时,因为它们之间彼此是信任的,所以就无需再次认证了。
下面以 WAS、Domino 和 Webseal 来简单说明一下 LTPA 信任的配置过程:
◆ 在 WAS Server 上生成 LTPA Key,并启用 LTPA 进行安全认证
◆ 在 Domino Server 导入上面生成的 LTPA Key,并配置 Domino Server 使用 LTPA 进行
认证
◆ 在 Webseal 上基于上面生成的 LTPA Key 创建到 WAS 和 Domino 的 Junction
通过上述配置就完成了基于 LTPA 的单点登录,下面以图示来详细说明认证过程的流程: