回页首

3 WebSphere中的SSO

3.1 WebSphere中的SSO

SSO在IBM的产品中得到了完全的体现 包括在WebSphere集群中 在WebSphere和Domino的集成中 都可以实现。

SSO允许网络用户在访问多个WebSphere域的多个应用时只要向其中的某一个WebSphere应用服务器进行认证 就可以访问其他WebSphere域中的各种资源 包括HTML页面 JSP文件 Servlet和企业EJB,也可以访问其他Domino中的文档 而不需要登录多个WebSphere域。

WebSphere中默认不支持SSO 如果需要实现SSO,需要对每一台WebSphere服务器进行配置 如果需要实现WebSphere和Domino之间的SSO 则对WebSphere和 Domino 都要重新配置。

3.2 前提条件

要实现WebSphere服务器之间的SSO 必须满足以下前提条件

1. 所有的服务器必须配置成同一个DNS域的一部分。

比如 DNS域配置为mydomain.com,那么 SSO将在所有Domino和WebSphere服务器起作用 只要他在属于这个DNS域的某个主机上 比如说在a.mydomain.com和b.mydomain.com的主机上配置的两台webpshere服务器之间。

2. 所有服务器必须共享用户注册表 用户注册表可以是LDAP数据库 在WebSphere服务器之间实现SSO还可以采用用户自己实现的用户注册表 但是Domino不支持用户自己实现的用户注册表 所以WebSphere和Domino之间实现SSO时只能采用LDAP数据库作为公有的用户注册表。

[注] 使用的LDAP数据库必须是WebSphere支持的LDAP数据库 推荐使用IBM的Security Way.

3. 所有的用户定义在一个单一的LDAP目录中。

4. 用户的浏览器必须支持Cookies,因为服务器生成的信息将通过Cookies传递到客户端 然后会提交给用户访问的其他服务器进行认证。

5. WebSphere应该是3.5版本或者以上版本。

3.3 SSO授权机制

WebSphere中的SSO授权机制比较简单 采用了类似于windows文件的权限管理的机制 就是先定义一些角色 然后给这些角色授予访问某些服务器资源的权限 然后再将这些角色映射到具体的用户或者用户组。

比如 我们开发了一个WebSphere服务器上的web应用 这个应用的管理员可以使用这个web应用的管理权限 和管理权限相关的文件都放在这个应用的/admin目录下 那么我们就可以给这个应用增加一个admin的角色 它可以访问/admin目录下的所有文件 然后把这个admin角色映射到所有管理员角色所在的LDAP数据库中的某个组 如图所示