SSO mit WebSphere/Workplace

Die Konfiguration bei Domino

Nach dem Export des Schlüssels für das LTPA-Token kann die Konfiguration bei Lotus Domino durchgeführt werden. Sie erfolgt über die Schnittstellen für die Web-SSO-Konfiguration. Damit befasst sich der folgende Artikel noch näher, so dass wir uns hier auf die spezifischen Aspekte für die Nutzung von LTPA mit WebSphere beschränken.

Sie können bei Configuration im Bereich Web/Internet Sites mit Create Web SSO Configuration ein neues Konfigurationsdokument für das Web Single Sign-On erstellen bzw. ein vorhandenes Dokument modifizieren (Bild 5). In ein solches Dokument können Sie über die Schaltfläche Keys/Import WebSphere LTPA Keys den oder die LTPA-Schlüssel von WebSphere importieren. Dazu müssen Sie den Pfad und das Passwort dafür angeben.

Bild 5: In Web-SSO-Dokumenten können WebSphere-LTPASchlüssel importiert werden.
Bild 5: In Web-SSO-Dokumenten können WebSphere-LTPASchlüssel importiert werden.

In dem Dokument lässt sich ab Domino 7 auch das Name Mapping für LTPA aktivieren. Wenn Sie diese Option aktiviert haben, können

Sie im Personendokument weitere Festlegungen vornehmen. Das Personendokument enthält im Register Administration das Feld LTPA user name (Bild 6). Dort kann der Benutzername angegeben werden, der für LTPA verwendet werden soll. Hier muss ein Name in LDAP-Notation angegeben werden, also beispielsweise

cn=Martin Kuppinger,ou=Beratung,o=Kuppinger

Dieser Name muss sich im anderen Verzeichnis finden.

Bild 6: In Personendokumenten kann bei Domino 7 ein LTPABenutzername eingetragen werden.
Bild 6: In Personendokumenten kann bei Domino 7 ein LTPABenutzername eingetragen werden.

Die Verwendung des LTPA User Name Mapping ist allerdings keine optimale Lösung, weil das Problem dabei ist, dass man mit getrennten Verzeichnissen arbeitet und auf andere Weise sicherstellen muss, dass die Informationen darin synchron sind – dass also ein Benutzer genauso im Domino Directory wie im anderen verwendeten Verzeichnisdienst angelegt wird. Das kann zwar mit Provisioning-Lösungen erreicht werden, es macht aber insgesamt mehr Sinn, mit einem Verzeichnisdienst sowohl für Domino als auch den WAS sowie gegebenenfalls weiteren Systemen zu arbeiten, die LTPA verwenden.

LDAP-Integration

In engem Zusammenhang mit der Konfiguration von LTPA ist daher die LDAP-Konfiguration beim WAS bzw. beim IBM Workplace zu sehen. In der Regel wird ein zentraler Verzeichnisdienst zum Einsatz kommen, auch wenn die Architektur von LTPA (Bild 1) und die Konfigurationsoptionen beispielsweise für das User Name Mapping, auf die im vorangegangenen Abschnitt eingegangen wurde, auch andere Optionen zulassen.

Die Konfiguration des LDAP-Servers erfolgt in der Administrationskonsole des WAS über sicherheit/Benutzer-Registrys/ LDAP. Die dort vorgenommen Anpassungen müssen abschließend über Sicherheit/Globale Sicherheit und dort die Festlegung von LDAP als Aktive Benutzer-Registry aktiviert werden.

Im Bereich LDAP können Sie zunächst die Authentifizierungseinstellungen für den LDAP-Server festlegen. Hier müssen Sie den Benutzernamen und das Kennwort eintragen. Diese Informationen werden für die Anforderung von Basisdaten benötigt und müssen administrative Zugriffe erlauben. Es gibt zusätzlich die Option, einen Bindungsnamen festzulegen, der für die laufenden Zugriffe auf den LDAP-Server verwendet wird.

Danach folgt die Auswahl des Servertyps. Um auf ein Domino Directory zuzugreifen, müssen Sie an dieser Stelle Domino auswählen. Der LDAP-Dienst muss beim Domino Directory aktiviert sein.