基于IBM产品二次开发的应用和产品之间的SSO一般都利用容器认证和WAS ltpa协议实现。相关配置如下
1. 从一台WAS上导出ltpa,如果有FileNet,可以以它所在WAS为导出对象
位置:
安全性》ltpa
安全性》ltpa
导出的ltpa文件在
WAS安装目录的server下:
AppServer\profiles\AppSrv01
WAS安装目录的server下:
AppServer\profiles\AppSrv01
2. 配置WAS进行ldap认证
3. 启用“应用程序安全性”
4. 启用sso
如果有FileNet执行再执行下面步骤
5. 设置出入站通信 为 “SSL-Supported”
6. 配置WAS下WSI方式认证
FileNet的JAAS-应用程序登陆(
FileNetP8)
,参见FileNet
jaas.conf.WebSphere文件
FileNet的JAAS-应用程序登陆(
FileNetP8)
,参见FileNet
jaas.conf.WebSphere文件
IBM产品级应用的安全性有自己相应的权限控制,二次开发的应用可能会集成一些开源安全框架,如shiro,相应的sso实现是以WAS容器为基础认证(一般realm采用ldap),对shiro认证进行击穿,充分利用其授权功能,可以规避了容器认证授权不灵活的弊处。
扩展
此种认证的应用其过期时间在web.xml和was 应用的会话管理中设置不起作用。
过期时间应在安全性》全局安全性》 ltpa中设置超时时间,这个时间应大于5分钟,且要大于等于
安全性》全局安全性》认证高速缓存的过期时间。可以同时将他们改为5分钟,之后应用就会在5分钟后过期。
安全性》全局安全性》认证高速缓存的过期时间。可以同时将他们改为5分钟,之后应用就会在5分钟后过期。
版权声明:本文为dongzi87原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。