SSO mit WebSphere/Workplace

Je nach verwendetem Verzeichnisdienst gibt es im Zusammenspiel zwischen den unterschiedlichen Plattformen spezielle Herausforderungen beispielsweise für das User Name Mapping, also die Abbildung unterschiedlicher Benutzernamen wie Martin Kuppinger/Kuppinger und cn=Martin Kuppinger,ou=beratung,o= kuppinger aufeinander. Darauf wird weiter unten noch näher eingegangen.

Aus Sicht von Lotus Domino wird immer mit dem Domino Directory gearbeitet, wobei über die Directory Assistance Database auch eine Weiterleitung der Anforderungen zu anderen LDAP Verzeichnissen erfolgen kann. Der WAS kann dagegen so konfiguriert werden, dass er direkt mit dem Domino Directory als Verzeichnisdienst arbeitet.

Das erzeugte LTPA-Token wird auf dem Client in einem Cookie gespeichert. Damit diese Form der Kommunikation sicher ist, werden die darin enthaltenen Informationen verschlüsselt. Die Verschlüsselung erfolgt über einen Schlüssel, der auf dem WAS erzeugt und von diesem exportiert wird. Der Schlüssel kann anschließend auf anderen Systemen wie dem Domino Server wieder importiert werden. Der Schlüssel ist mit einem Kennwort gesichert. Da dieses Kennwort erhebliche Bedeutung für die Gesamtsicherheit von LTPA hat, sollte es ausreichend stark gewählt und nur für diesen Zweck eingesetzt werden. Das LTPA-Token selbst enthält folgende Informationen:

  • Benutzerdaten, also in der Regel die Benutzer- ID. Es kann sich aber prinzipiell um jede Information handeln, die dazu geeignet ist, den Benutzer eindeutig zu identifizieren.

  • Ablaufzeit für den Token. In der Regel wird inzwischen mit einem Zeitraum von 120 Minuten gearbeitet, der aber konfigurierbar ist. Ältere Versionen haben ein Intervall von nur 30 Minuten verwendet. Der Zeitraum sollte nicht zu lang gewählt werden, da die Missbrauchsgefahr mit längerer Gültigkeitsdauer steigt.

  • Digitale Signatur zur Validierung des Tokens. Diese Information wird auf Basis des Schlüssels erzeugt.

Das gesamte LTPA-Token ist verschlüsselt und wird in ein Cookie eingebunden. Das Cookie enthält wiederum die folgenden Informationen:

  • Den Namen des Cookies, der immer auf Ltpa- Token gesetzt wird.

  • Die Domäne. Damit ein Cookie von mehreren Systemen genutzt werden kann, müssen diese zu einer Internet-Domäne gehören. Diese Domäne muss im Cookie gesetzt werden.

  • Ablaufdatum des Cookies. Dieses Ablaufdatum ist ein anderer Wert als die oben genannte Lebensdauer des LTPA-Tokens. Damit wird gesteuert, wie lange das Cookie auf dem Browser gespeichert wird. Die Einstellung ist in diesem Fall so, dass das Cookie mit dem Ende einer Browser-Sitzung gelöscht wird.

  • Sicherheit: Dieser Wert kann auf on gesetzt werden, damit die LTPA-Cookies nur über SSL gesendet werden dürfen. Bevor eine solche Konfigurationsoption gewählt wird, muss aber geprüft werden, ob die Arbeitsumgebung auch diese Voraussetzungen erfüllt.

  • Cookie-Wert: Hier findet sich das LTPA-Token selbst, das aus Sicht des Cookies eine verschlüs- selte Zeichenkette ist.

Das Konzept von LTPA ist im Prinzip recht einfach und hat den Vorteil, dass keine komplexere Infrastruktur beispielsweise mit digitalen Zertifikaten nach dem X.509-Standard aufgebaut werden muss. Soweit Systeme LTPA unterstützen, ist damit ein relativ einfacher Single Sign-On über verschiedene Systeme hinweg realisierbar.