Neben den Bordmitteln von Lotus Notes/Domino, die in den anderen Artikeln des Schwerpunkts betrachtet wurden, können auch externe Anwendungen eingesetzt werden, um SSO-Lösungen umzusetzen. Dabei sind zwei Ansätze von besonderem Interesse:
-
Web-SSO-Lösungen, die eine Authentifizierung gegenüber verschiedenen webbasierenden Anwendungen durchführen.
-
Single-Sign-On-Lösungen, mit denen Credentials für unterschiedliche Anwendungen gespeichert und an diese Anwendungen übergeben werden.
Der erste der beiden Ansätze ist speziell für Webzugriffe geeignet, der zweite hingegen für die Authentifizierung an unterschiedlichen internen und externen Anwendungen.
Web Access Management
Das Konzept des Web Access Management oder der Web-SSO ist zunächst vor allem deshalb entwickelt worden, um interne Anwendungen gezielt für externe Benutzer öffnen zu können. Diese externen Benutzer werden in einem Verzeichnisdienst verwaltet. Über die Web Access Management-Lösung wird gesteuert, auf welche Informationen welche Benutzer zugreifen dürfen.
Bild 1 zeigt die Basisarchitektur einer solchen Lösung im Zusammenspiel mit Lotus Domino. Der Zugriff der Benutzer erfolgt über den Browser auf den HTTP-Stack des Domino-Servers. Über die DSAPI können die Anforderungen an diesen Stack abgefangen werden. Sie werden an einen Web-Agent weitergeleitet, also eine Komponente des Web Access Management-Systems. Diese Komponente wird auch als Policy Enforcement Point (PEP) bezeichnet.
Sie kommuniziert mit dem Policy Server, auf dem die Richtlinien für den Zugriff von Benutzern festgelegt sind. Der Policy-Server führt die Authentifizierung gegenüber einem Verzeichnisdienst – typischerweise über LDAP – durch und stellt dem Web Agent die Richtlinien bereit, in denen beschrieben ist, wer in welcher Weise auf welche Anwendungen zugreifen darf. Wenn ein Benutzer erfolgreich authentifiziert wurde, entscheidet der Web Agent auf Basis dieser Regeln darüber, ob der Zugriff für den Benutzer erlaubt ist oder nicht.
Das ist allerdings nur ein Teil der SSO-Lösung, da es bisher nur um die Autorisierung von Zugriffen auf Domino-Anwendungen geht. Zu einer vollständigen SSO-Lösung wird das Ganze, wenn nun noch andere Anwendungen mit dem Web Access Management-System zusammenarbeiten. Bei diesen werden ebenfalls Web Agents installiert, die Zugriffe abfangen und steuern.
Auf dem Policy Server werden zentral Regeln für den Zugriff auf verschiedene Systeme konfiguriert. Darüber hinaus wird dort die Authentifizierung einmalig durchgeführt.
Das Konzept ist etabliert, stellt aber letztlich nur einen Workaround dar, weil die Zielsetzung keine End-to-End-Security, sondern nur eine generell einheitliche Authentifizierung und Zugriffskontrolle vor der Anwendung ist.
Lokale Single-Sign-On-Lösungen
Der zweite Ansatz, der sich mit externen Produkten realisieren lässt, sind lokale Single Sign- On-Lösungen. Dabei lassen sich zwei Ansätze unterscheiden:
-
Systeme, bei denen zentral Credentials gespeichert und verwaltet werden.
-
Systeme, bei denen diese Credentials lokal meist auf einer Smartcard – abgelegt werden.
Benutzer müssen bei solchen Lösungen beim erstmaligen Zugriff auf eine Anwendung ihr Kennwort eingeben. Es wird von der SSO-Anwendung abgefangen und in dem definierten Speicher abgelegt. Bei zukünftigen Zugriffen erkennt die SSO-Lösung den Anmeldedialog und übergibt die Anmeldeinformationen automatisch. Außerdem werden typischerweise auch Anforderungen für Kennwortänderungen abgefangen. Diese können entweder automatisch durch die SSO-Lösung oder manuell vom Benutzer verarbeitet werden.
Die führenden Produkte am Markt unterstützen alle auch den Notes-Client und dessen Anmeldedialoge, so dass Notes einfach eingebunden werden kann.
Der Vorteil dieser Lösungen ist, dass man mit einer Authentifizierung auf viele verschiedene Systeme zugreifen kann, ohne im Backend die Verzeichnisse oder Authentifizierungsverfahren homogenisieren zu müssen. Allerdings ist auch dieser Weg, wie das Web Access Management, eher eine Übergangslösung auf dem Weg zu integrierten Verzeichnisdiensten und Ansätzen für die Authentifizierung.
Bei der Auswahl von Lösungen in beiden Bereichen muss darauf geachtet werden, dass eine enge Integration mit Lotus Domino gegeben ist, also entweder ein Web Agent für den Domino Server oder die Unterstützung für den Notes- Client Teil des Produkts sind.