Компания IBM
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 458 / 58 | Оценка: 4.48 / 3.95 | Длительность: 13:58:00
Лекция 6:

Единая регистрация (единый вход) (SSO) и соответствие имен в Domino

< Лекция 5 || Лекция 6: 123456 || Лекция 7 >
Аннотация: Лекция на примерах рассматривает соответствие пользовательских имен: обновление, включение SSL для SSO и отладку SSO

В этой лекции предлагается справочная информация по конфигурированию единой регистрации (single sign-on, SSO) с новой возможностью установления соответствий пользовательских имен. Система SSO в Domino - не новинка. В версии 7 появилась возможность выбрать имя, хранящееся в маркере Lightweight Third Party Authentication (LTPA). Аутентификация LTPA была разработана IBM, и она является стандартом де-факто для семейства продуктов от IBM.

При использовании SSO, если мы проходим аутентификацию на одном сервере, у нас не возникает проблем, связанных с передачей идентификационных данных (ID пользователя и пароля) при обращении к другой системе (серверу). Если мы обращаемся к другим системам, SSO вступает в действие, чтобы нам не приходилось заново указывать ID и пароль. Разные системы могут не иметь общей директории, а идентификационная информация и имена пользователей могут быть различными. Имя пользователя Domino может не соответствовать имени пользователя WebSphere. При употреблении соответствия имен в Domino 7 администраторы могут осуществлять контроль за тем, какое имя передается между системами.

Транспортное средство, которое переносит информацию о пользователе между системами, - это cookie браузера, который также известен как маркер LTPA. В нем содержится цифровая подпись, дата создания, срок действия и имя пользователя. Cookie по определению действует только в пределах одного домена. Поэтому cookie, созданный для ibm.com \text{\textregistered}, не будет доступен для приложений домена emailreplies.com.

В этой лекции рассматривается SSO и новая функция установления соответствия имен в Domino 7. SSO можно включить тремя разными способами: в документе Server, в документе Web Configuration и, начиная с Domino 6, в документах Internet Site. Мы рассмотрим конфигурирование через документ Internet Site и семейство программных продуктов Lotus:

  • Lotus Domino Server Release 7;
  • Lotus QuickPlace \text{\textregistered} Release 7;
  • Lotus Sametime \text{\textregistered} Release 7.

За информацией об SSO и других продуктах IBM обращайтесь к отличному документу, опубликованному в сентябре 2005 г. под называнием "Single Sign-on in a Multi-directory World: "Never say login again" (http://www.ibm.com/developerworks/lotus/library/sso1/). Этот документ, состоящий из двух частей, очень подробно описывает эти процессы. Еще одним источником является глава 7 в "Lotus Security Handbook", SG24-7017, хотя эта книга не охватывает версию 7.

За реализациями SSO в среде с продуктами от разных производителей или в среде с несколькими доменами вам, возможно, придется обращаться к сторонним производителям. Одним из примеров является продукт от dotNSF (http://dotNSF.com), который применяет API от IBM, позволяет любой комбинации упомянутых серверов от IBM (Lotus Domino, Lotus QuickPlace, Lotus Sametime, IBM WebSphere Application Server, IBM WebSphere Portal и IBM Tivoli) свободно взаимодействовать с не IBM-серверами, в том числе Microsoft Internet Information Services (IIS), и в результате IIS (вместе с интегрированной аутентификацией Win32) становится равноправной частью маркера LTPA в SSO.

В этой лекции описывается среда с двумя серверами Domino, каждый из которых принадлежит к своему домену. Один сервер представляет собой сервер LDAP, и все его пользователи зарегистрированы в Domino Directory. Второй сервер - это сервер приложений с Web-приложениями Domino, Lotus QuickPlace или Lotus Sametime. На рис. 6.1 показан общий обзор тестовой среды SSO.

Общий обзор тестовой среды SSO

Рис. 6.1. Общий обзор тестовой среды SSO

Наша цель - сконфигурировать 2 независимых домена Domino на применение системы соответствий пользовательских имен. После этого пользователи смогут подключаться к любому из этих серверов для доступа к другому. Пользовательское имя в LTPA-маркере представляет собой внешний формат имени, а не иерархическое имя Notes. Информация для аутентификации правильно передается от сервера к серверу. Вся аутентификация правильно выполняется в приложении Domino на любом из серверов.

< Лекция 5 || Лекция 6: 123456 || Лекция 7 >