SSO mit WebSphere/Workplace

Unterhalb der Optionen finden sich Links zu zwei weiteren Konfigurationsbereichen. Bei Trust Association können Sie die Verbindung mit Reverse- Proxy-Servern als Authentifizierungsserver konfigurieren. Diese Einstellung ist für das Zusammenspiel zwischen WebSphere und Domino nicht relevant.

Der zweite Bereich ist Single Sign-On (SSO). Hier können Sie weitere wichtige Festlegungen für die LTPA-Tokens vornehmen (Bild 3):

Bild 3: Die Einstellungen zum Bereich Single Sign-On bei der LTPAKonfiguration.
Bild 3: Die Einstellungen zum Bereich Single Sign-On bei der LTPAKonfiguration.

  • Aktiviert legt fest, dass mit einem Single Sign- On über LTPA gearbeitet werden kann. Diese Option muss gesetzt sein, um mit dem Verfahren arbeiten zu können.

  • Erfordert SSL sorgt dafür, dass zwingend mit SSL gearbeitet werden muss, soweit LTPA genutzt werden soll. Das ist aus Sicherheitsgründen zwar empfehlenswert, kann den Einsatz der Technologie aber deutlich einschränken.

  • Domänenname gibt den Name der Domäne an, für die mit dem LTPA-basierenden SSO gearbeitet werden soll. Diese Einstellung ist wichtig, damit mehrere Hosts auf das Cookie zugreifen können. Falls hier ein Hostname statt nur des Domänennamens eingetragen wird, können nur Anwendungen auf diesem Rechner mit LTPA arbeiten.

Bild 4: LTPA muss bei den globalen Sicherheitseinstellungen für WebSphere explizit aktiviert werden.
Bild 4: LTPA muss bei den globalen Sicherheitseinstellungen für WebSphere explizit aktiviert werden.

Weitere Konfigurationseinstellungen für LTPA finden sich im Bereich Sicherheit/Globale Sicherheit. Dort können Sie das Authentifizierungsverfahren für den WAS konfigurieren und damit die Nutzung von LTPA überhaupt erst aktivieren – ein konfiguriertes Token alleine bedeutet noch nicht, dass mit LTPA gearbeitet wird.

In diesem Bereich kann bei Aktives Authentifizierungsverfahren konfiguriert werden, ob mit LTPA oder mit SWAM (Simple WebSphere Authentication Mechanism) gearbeitet wird. SWAM ist das Standardverfahren, das keine Interoperabilität mit anderen Plattformen bietet.

Darunter findet sich die Option Aktive Benutzer- Registry. Sie steuert, auf welches Verzeichnis zugegriffen wird. Darauf wird im Zusammenhang mit der Anpassung des von WebSphere verwendeten Verzeichnisdienstes weiter unten diesem Artikel noch näher eingegangen.

Das LTPA User Name Mapping

Eine der Herausforderungen bei der Verwendung von LTPA besteht darin, dass in dem Token ein Benutzername gespeichert wird, der in allen Systemen erkannt werden muss. Da WebSphere und Domino aber mit einer unterschiedlichen Notation für solche Namen arbeiten, ist das problematisch. Daher mussten bisher LTPA-Tokens auch bei WebSphere erzeugt werden. Außerdem war ein gemeinsames Verzeichnis er forderlich.

Mit dem LTPA User Name Mapping kann das nun umgangen werden. Dazu wird ein Mapping für den Benutzernamen definiert. Falls die Notes-Benutzerinformationen nur im Domino Directory liegen, wird das Mapping im Personendokument definiert. Bei Zugriffen auf ein externes LDAP-Verzeichnis über die Directory Assistance erfolgt die Anpassung bei der Directory Assistance. Falls beide Verzeichnisse verwendet werden, müssen die Modifikationen auch an zwei Stellen durchgeführt werden.

Dabei ist es auch möglich, mit einem anderen Attribut zu arbeiten. Bei der Directory Assistance kann das Attribut explizit konfiguriert werden.