Bei der Verwendung der Benutzername-/Kennwort- Authentifizierung an Websites stehen bei Lotus Domino drei Optionen zur Verfügung:
-
Es kann mit der einfachen Benutzername- /Kennwort-Authentifizierung gearbeitet werden.
-
Die sitzungsbasierende Benutzername-/ Kennwort-Authentifizierung geht darüber hinaus. Es wird ein Cookie verwendet, das von einem Server innerhalb der definierten Dauer einer Session akzeptiert wird und damit wiederholte Authentifizierungsaufforderungen vermeidet. Dieser Ansatz stellt bereits den Einstieg in das SSO dar, weil eine Session mit einem Server aufgebaut wird, auf dem wiederum mehrere Anwendungen laufen können.
-
Die sitzungsbasierende Benutzername-/Kennwort- Authentifizierung kann auch im Zusammenspiel mit mehreren Servern eingesetzt werden. In diesem Fall kann das Cookie von mehr als einem Server genutzt werden. Damit wird ein Single Sign-On auch über Anwendungen hinweg ermöglicht, die auf unterschiedlichen Servern laufen. Das ist auch für Situationen interessant, in denen eine Anwendung in mehreren Instanzen auf unterschiedlichen Servern ausgeführt wird, während die Zugriffe beispielsweise über einen Load Balancer verteilt werden, um sich nur einmal authentifizieren zu müssen.
Sitzungsbasierende Authentifizierung
Um die sitzungsbasierende Benutzername-/Kennwort- Authentifizierung zu aktivieren, müssen Sie ein Website-Dokument erstellen. Solche Dokumente werden im Domino-Administrator im Register Configuration bei Web/Internet Sites mit Add Internet Site/Web erstellt. Im Register Domino Web Engine können Sie bei HTTP Sessions die Einstellung Session authentication anpassen. Das angezeigte Dialogfeld bietet die Auswahl zwischen den drei genannten Varianten, wobei Single Server die sitzungsbasierende Authentifizierung für den lokalen Server aktiviert (Bild 1).
Wenn diese Option gewählt wurde, kann die Option Idle session timeout konfiguriert werden, um eine Leerlaufzeit für die Sitzung festzulegen. Solange die Benutzer innerhalb des standardmäßig dreißig Minuten dauernden Intervalls immer wieder auf den Server zugreifen, müssen sie sich auch nicht neu authentifizieren.
Web-SSO-Konfiguration
Die sitzungsbasierende Benutzername-/Kennwort- Authentifizierung über mehrere Server hinweg, die bei Domino auch als Web SSO-Konfiguration bezeichnet wird, richten Sie auch in dieser Maske ein. Bei Auswahl von Multiple Servers (SSO) muss allerdings ein Web SSO-Konfigurationsdokument angegeben werden. Dieses erstellen Sie wiederum im Register Configuration bei Web Internet Sites über die Schaltfläche Create Web SSO Configuration.
In diesem Dokument (Bild 2) konfigurieren Sie, welcher Konfigurationsname verwendet wird, welche Server beteiligt sind und welche DNS-Domänen verwendet werden. Wichtig ist der Organisationsname. Er muss der Einstellung im Register Basics des Website-Dokuments entsprechen, damit dort das Web SSO-Konfigurationsdokument erkannt wird. Außerdem können Sie die Lebensdauer des Tokens und den Session- Timeout konfigurieren. Über Keys/Create Domino SSO Key müssen Sie noch einen Schlüssel generieren, der für die verschiedenen Systeme, die am Web-SSO partizipieren, verwendet wird. Dieser Schlüssel kann ausschließlich in Domino- Umgebungen, nicht aber für das Zusammenspiel mit WebSphere-Servern eingesetzt werden. Dafür werden solche Schlüssel automatisch auf allen Servern bereitgestellt, was den Konfigurationsaufwand entsprechend reduziert.
Die Zuordnung des Web SSO-Dokuments kann nicht nur über Website-Dokumente, sondern auch über die Serverdokumente erfolgen. Dort lässt sich im Register Internet Ports/Domino Web Engine ebenfalls die Einstellung für Session authentication anpassen. Dieser Ansatz ist der Domino 5.x-Ansatz, der ab dem Release 6 durch die Verwendung von Website-Konfigurationsdokumenten ersetzt wurde.
Das Verfahren des Web SSO innerhalb von Domino- Umgebungen ist sehr einfach einsetzbar. Es macht daher in jedem Fall Sinn, diesen Mechanismus zu nutzen, um die Authentifizierung für Benutzer zu vereinfachen.