Mit einem Clientzertifikat anmelden

Sie haben zwei Möglichkeiten, wenn Sie die Anmeldung mit einem Clientzertifikat konfigurieren.

Anmeldung bei Verwendung von WebSphere Application Server für Build Forge

Informationen zu diesem Vorgang

Wird WebSphere Application Server für Build Forge verwendet, haben Sie eine Option, die Sie mit einigen Änderungen verwenden können. Für diese Option ist WebSphereSSOInterceptor erforderlich, wodurch der authentifizierte Principal abgerufen wird, nachdem WebSphere die Authentifizierung ausgeführt hat.

Nehmen Sie die Änderungen in der folgenden Prozedur vor, um diese Option verwenden zu können.

Vorgehensweise

  1. Schützen Sie die Build Forge-WAR-Datei, so dass die containergesteuerte Authentifizierung von WebSphere Application Server Anforderungen an rbf-services authentifiziert. Informationen darüber, wie dieser Schutz eingerichtet wird, finden Sie in WAS-Sicherheit mithilfe eines angepassten Abfangprozesses einbinden.
  2. Konfigurieren Sie WebSphere Application Server für die Unterstützung der Zuordnung der Clientzertifikatsauthentifizierung für die rbf-services-Webanwendung. Definieren Sie diese Unterstützung durch Konfiguration der folgenden Elemente:
    • SSL für ein Clientzertifikat
    • Ihre rbf-services-Webanwendung für ein Clientzertifikat
    • Ihren Web-Server für ein Clientzertifikat
    • Die LDAP-Serverzuordnung für Clientzertifikate

    Informationen zur Konfiguration der Clientzertifikatsauthentifizierung für WebSphere Portal, die Ihnen bei der Konfiguration von WebSphere Application Server helfen können, finden Sie unter: http://publib.boulder.ibm.com/infocenter/wpdoc/v6r0/index.jsp?topic=/com.ibm.wp.ent.doc/wpf/certauth.html. Führen Sie die Schritte 1 bis 3 aus. Diese Prozedur bezieht sich auf die Datei web.xml, die Sie in WAS-Sicherheit mithilfe eines angepassten Abfangprozesses einbinden ändern. Sie ändern die Datei in ${WAS-Installationsstammverzeichnis}/profiles/${Profilname}/installedApps/${Zellenname}/rbf-services_war.ear/rbf-services.war/WEB-INF/web.xml.

Anmeldung auf der Basis eines angepassten Build Forge-SSO-Abfangprozesses

Informationen zu diesem Vorgang

Für diese Option müssen Sie einen angepassten SSO-Abfangprozess hinzufügen. Siehe hierzu Informationen zum Framework für Single Sign-on.

Vorgehensweise

  1. Stellen Sie sicher, dass der angepasste SSO-Abfangprozess das X509-Zertifikat wie folgt vom Anforderungsattribut empfängt:
    X509Certificate[] certs = 
    (X509Certificate[])request.getAttribute("javax.net.ssl.peer_certificates");
  2. Stellen Sie sicher, dass der angepasste SSO-Abfangprozess Teile des registrierten Namens des Zertifikatsinhabers LDAP-Attributen zuordnet. In der Regeln ordnen Sie den allgemeinen Name (Common Name, CN) aus dem Zertifikat der Benutzer-ID im LDAP-Verzeichnis zu. Geben Sie das Ergebnis in der Methode authenticateRequest des Build Forge-SSO-Abfangprozesses zurück.
    responseAttributes.setStatus(HttpServletResponse.SC_OK);
    principal = mapCert(certs);  /* Custom method to map from certificate to 
                                    Build Forge LDAP principal. */
    result = new Result(Result.UseridOnlyOID, domain, principal); /*
    Geben Sie 
                   den Domänennamen des LDAP-Servers an, in dem sich der
    Prinzipal befindet. */
    return result;

Feedback