Web- und andere SSO-Lösungen

Neben den Standardmechanismen von Lotus Notes/Domino können zur Realisierung von Single-Sign-On-Anwendungen auch externe Lösungen genutzt werden. Der Artikel betrachtet die wichtigsten Lösungsansätze detailliert und geht insbesondere auf das Konzept des Web Access Management ein.

Neben den Bordmitteln von Lotus Notes/Domino, die in den anderen Artikeln des Schwerpunkts betrachtet wurden, können auch externe Anwendungen eingesetzt werden, um SSO-Lösungen umzusetzen. Dabei sind zwei Ansätze von besonderem Interesse:

  • Web-SSO-Lösungen, die eine Authentifizierung gegenüber verschiedenen webbasierenden Anwendungen durchführen.

  • Single-Sign-On-Lösungen, mit denen Credentials für unterschiedliche Anwendungen gespeichert und an diese Anwendungen übergeben werden.

Der erste der beiden Ansätze ist speziell für Webzugriffe geeignet, der zweite hingegen für die Authentifizierung an unterschiedlichen internen und externen Anwendungen.

Web Access Management

Das Konzept des Web Access Management oder der Web-SSO ist zunächst vor allem deshalb entwickelt worden, um interne Anwendungen gezielt für externe Benutzer öffnen zu können. Diese externen Benutzer werden in einem Verzeichnisdienst verwaltet. Über die Web Access Management-Lösung wird gesteuert, auf welche Informationen welche Benutzer zugreifen dürfen.

Bild 1 zeigt die Basisarchitektur einer solchen Lösung im Zusammenspiel mit Lotus Domino. Der Zugriff der Benutzer erfolgt über den Browser auf den HTTP-Stack des Domino-Servers. Über die DSAPI können die Anforderungen an diesen Stack abgefangen werden. Sie werden an einen Web-Agent weitergeleitet, also eine Komponente des Web Access Management-Systems. Diese Komponente wird auch als Policy Enforcement Point (PEP) bezeichnet.

Bild 1: Die Basisarchitektur einer Web Access Management-Lösung für Lotus Domino.
Bild 1: Die Basisarchitektur einer Web Access Management-Lösung für Lotus Domino.

Sie kommuniziert mit dem Policy Server, auf dem die Richtlinien für den Zugriff von Benutzern festgelegt sind. Der Policy-Server führt die Authentifizierung gegenüber einem Verzeichnisdienst – typischerweise über LDAP – durch und stellt dem Web Agent die Richtlinien bereit, in denen beschrieben ist, wer in welcher Weise auf welche Anwendungen zugreifen darf. Wenn ein Benutzer erfolgreich authentifiziert wurde, entscheidet der Web Agent auf Basis dieser Regeln darüber, ob der Zugriff für den Benutzer erlaubt ist oder nicht.

Das ist allerdings nur ein Teil der SSO-Lösung, da es bisher nur um die Autorisierung von Zugriffen auf Domino-Anwendungen geht. Zu einer vollständigen SSO-Lösung wird das Ganze, wenn nun noch andere Anwendungen mit dem Web Access Management-System zusammenarbeiten. Bei diesen werden ebenfalls Web Agents installiert, die Zugriffe abfangen und steuern.

Auf dem Policy Server werden zentral Regeln für den Zugriff auf verschiedene Systeme konfiguriert. Darüber hinaus wird dort die Authentifizierung einmalig durchgeführt.

Das Konzept ist etabliert, stellt aber letztlich nur einen Workaround dar, weil die Zielsetzung keine End-to-End-Security, sondern nur eine generell einheitliche Authentifizierung und Zugriffskontrolle vor der Anwendung ist.