Notes/Domino:SSO im Überblick

Die verschiedenen Ansätze und Komponenten

Wenn man sich die verschiedenen Ansätze und Komponenten bei Notes/Domino betrachtet, die für die Umsetzung von Single-Sign-On-Ansätzen eine Rolle spielen können, kommt man auf eine beachtliche lange Liste:

  • X.509 kann in Single-Sign-On-Konzepten eine wichtige Rolle spielen, weil sich Benutzer mit einem Zertifikat gegenüber verschiedenen Systemen identifizieren können. Da Lotus Domino die Authentifizierung mit X.509-Zertifikaten unterstützt, lassen sich Webanwendungen, aber auch Mailzugriffe und Remote Java-/DIIOP-Anwendungen über X.509-Client-Zertifikate nutzen. Zudem können solche Zertifikate innerhalb des Intranets auch noch über die Domino-interne CA ausgestellt werden. Da X.509 mittlerweile bei sehr vielen Systemen unterstützt wird, lassen sich darauf basierend auch Single-Sign-On-Lösungen umsetzen.

  • Domino unterstützt die einmalige Authentifizierung an Webanwendungen, auch wenn diese auf verschiedenen Servern liegen. Die Basis dafür bilden Cookies und die Web SSO Konfigurationsdokumente.

  • Darauf basiert auch das Zusammenspiel mit IBM WebSphere und anderen Anwendungen von IBM. Die so genannte LTPA (Lightweight Third Party Authentication) ist ein Mechanismus, mit dem Tokens, die als Cookies auf den Clients gespeichert werden, auch über die Grenzen einer Anwendung hinweg eingesetzt werden können. Dieses Verfahren spielt auch bei Portallösungen wie dem IBM Workplace eine zentrale Rolle.

  • Stattdessen kann aber auch mit externen Lösungen für das Web Single Sign-On gearbeitet werden. Diese auch als EAM (Extranet Access Management) bezeichneten Systeme wie der Netegrity SiteMinder fangen Zugriffe ab, führen die Authentifizierung von Benutzern durch und autorisieren – meist auf Basis von URLs – den Durchgriff auf die webbasierenden Anwendungen. Dabei kann es sich natürlich auch um Domino- Anwendungen handeln.

  • Eingesetzt werden können aber auch externe SSO-Lösungen auf dem Client. Solche Lösungen speichern lokal oder auf dem Server Credentials Authentifizierungsnachweise) für Anwendungen. Alle wichtigen Anbieter unterstützen auch die Authentifizierung am Lotus Notes-Client.

  • Lotus selbst bietet mit dem schon erwähnten xClient Single Logon Feature einen einfacheren Mechanismus an, um diese integrierte Authentifizierung durchzuführen. Dabei wird der Windows- Authentifizierung vertraut. Auch die Kennwörter von Windows und der Notes-ID-Datei können synchronisiert werden. Eine vergleichbare Funktionalität gibt es auch beim Macintosh- Client.

Es gibt aber auch Lücken bei den Technologien für Single Sign-On in Lotus Notes/Domino. Die größte Lücke ist derzeit sicherlich die fehlende Unterstützung für Kerberos. Kerberos ist in internen Netzwerken eine interessante Alternative zu X.509. Bei KDCs (Kerberos Key Distribution Centern) können nach der Authentifizierung Tickets für den Zugriff auf weitere Dienste angefordert werden. Diese Dienste müssen die Session Tickets von Kerberos aber akzeptieren, was bei Lotus Domino nicht der Fall ist.

Ebenso fehlt derzeit noch die Unterstützung für Federation-Standards, also SAML, die Liberty Alliance-Standards oder die WS*-Standards. Das dürfte sich aber schon wegen des klaren Commitments von IBM zu Web Services und zur Identity Federation zukünftig ändern, wobei man gespannt sein darf, welche Rolle das Domino Directory in solchen Modellen spielen wird.

Dennoch lassen sich mit den vorhandenen Mechanismen sehr flexibel Lösungen aufbauen, mit denen ein Single Sign-On für Domino-Anwendungen, im Zusammenspiel mit anderen IBM-Anwendungen oder auch mit Lösungen weiterer Anbieter erfolgt. Allerdings wird man sich selten auf nur einen Mechanismus stützen können, sondern verschiedene Verfahren kombinieren müssen, um den Benutzern bei unterschiedlichen Zugriffswegen jeweils Single Sign- On bieten zu können.