SSO mit WebSphere/Workplace

Eines der wichtigsten Einsatzfelder für die integrierte Authentifizierung ist die Verbindung von Domino mit IBMs WebSphere-Komponenten und hier insbesondere dem IBM WebSphere Application Server. Der Artikel geht auf die LTPA-Authentifizierung und auf die Konfiguration einer gemeinsamen Authentifizierungsinfrastruktur ein.

Einer der Bereiche, in denen Single Sign-On schon länger eine Rolle spielt, ist die Verbindung von Lotus Domino mit der IBM WebSphere-Plattform. Das gilt noch mehr seit dem Release des IBM Workplace, da dieser auf dem IBM WebSphere Portal Server und damit wiederum auf dem WebSphere Application Server basiert.

Die Integration zwischen IBM WebSphere und Lotus Domino kann über ein spezielles, als LTPA (Lightweight Third Party Authentication) bezeichnetes Token erfolgen, das bei den Clients als Cookie gespeichert wird.

Um diesen Mechanismus zu nutzen, sind Konfigurationsschritte sowohl bei WebSphere als auch bei Lotus Domino erforderlich.

Das LTPA-Token

Das LTPA-Token wurde mit der Version 3.0 von IBM WebSphere eingeführt und wird seit der Version 5.0.3 auch bei Lotus Domino unterstützt, ebenso wie es beispielsweise auch bei Sametime und anderen Anwendungen zu finden ist.

Vom Konzept her wird bei dem LTPA-Token mit einer Vertrauensstellung zwischen verschiedenen Systemen gearbeitet, auch wenn das von IBM nicht explizit so bearbeitet wird. Ein System erzeugt das Token, das von anderen Systemen ebenfalls akzeptiert wird.

Sowohl Lotus Domino als auch der WebSphere Application Server (WAS) verfügen über einen LTPA-Dienst, der mit den LTPA-Tokens arbeiten kann (Bild 1). Dieser Dienst kann solche Tokens erzeugen und sie konsumieren, wenn ein Benutzer zugreift. In beiden Fällen ist ein Zusammenspiel mit einem Verzeichnisdienst erforderlich. Das kann das Domino Directory sein, aber auch ein anderer LDAP-Verzeichnisdienst.

Bild 1: Die Architektur des LTPA-Verfahrens.
Bild 1: Die Architektur des LTPA-Verfahrens.