SSO-Einstellungen

Verwenden Sie diese Seite, um die Konfigurationswerte für SSO (Single Sign-On) festzulegen.

Führen Sie die folgenden Schritte aus, um diese Seite der Administrationskonsole anzuzeigen:
  1. Klicken Sie auf Sicherheit > Globale Sicherheit.
  2. Klicken Sie unter "Authentifizierung" auf Web- und SIP-Sicherheit > Single Sign-on (SSO).

Register 'Konfiguration'

Aktiviert

Gibt an, dass die SSO-Funktion aktiviert ist.

Für Webanwendungen, die Seiten für formulargesteuerte Anmeldung mit J2EE (J2EE FormLogin) verwenden, wie z. B. die Administrationskonsole, muss SSO (Single Sign-On) aktiviert werden. Sie können SSO nur für bestimmte erweiterte Konfigurationen inaktivieren, in denen LTPA-SSO-Cookies nicht erforderlich sind.

Datentyp Boolean
Standardeinstellung Aktiviert
Einstellmöglichkeiten Aktiviert oder Inaktiviert
Erfordert SSL

Diese Option gibt an, dass SSO nur aktiviert wird, wenn Anforderungen mit SSL (Secure Sockets Layer) über HTTPS-Verbindungen durchgeführt werden.

Datentyp Boolean
Standardeinstellung Inaktivieren
Einstellmöglichkeiten Aktiviert oder Inaktiviert
Domänenname

Gibt den Domänennamen (z. B. .ibm.com) für alle SSO-Hosts an.

Der Anwendungsserver verwendet nach dem ersten Punkt alle Informationen von links nach rechts für die Domänennamen. Wenn dieses Feld nicht definiert ist, verwendet der Webbrowser standardmäßig den Namen des Hosts, auf dem die Webawendung ausgeführt wird, als Domänennamen. Außerdem ist Single Sign-On auf den Anwendungsserverhost beschränkt, und funktioniert nicht für andere Anwendungsserverhosts in der Domäne.

Sie können mehrere Domänen mit Semikola (;), Leerzeichen ( ), Kommas (,) oder Pipe-Zeichen (|) als Trennzeichen angeben. Jede Domäne wird mit dem Hostnamen in der HTTP-Anforderung verglichen, bis eine Übereinstimmung gefunden wird. Wenn Sie beispielsweise "ibm.com;austin.ibm.com" angeben und die erste Übereinstimmung in der Domäne "ibm.com" gefunden wird, führt der Anwendungsserver keinen weiteren Abgleich in der Domäne "austin.ibm.com" durch. Wenn jedoch keine Übereinstimmung in "ibm.com" oder austin.ibm.com gefunden wird, legt der Anwendungsserver keine Domäne für das LtpaToken-Cookie fest.

Wenn Sie den UseDomainFromURL-Wert angeben, setzt der Anwendungsserver den SSO-Domänennamen auf den Wert für die Domäne des Hosts, der in der Webadresse verwendet wird. Geht beispielsweise eine HTTP-Anforderung von server1.raleigh.ibm.com ein, setzt der Anwendungsserver den Wert für den SSO-Domänennamen auf raleigh.ibm.com.

Tipp: Im Wert von UseDomainFromURL wird zwischen Groß- und Kleinschreibung unterschieden. Wenn Sie usedomainfromurl angeben, wird genau dieser Wert verwendet.
Datentyp String
Interoperabilitätsmodus

Gibt an, dass für die Unterstützung von Servern mit früheren Versionen ein interoperables Cookie an den Browser gesendet wird.

In WebSphere Application Server Version 6 und höher wird ein neues Cookie-Format für die Weitergabe von Sicherheitsattributen benötigt. Wenn das Flag für den Interoperabilitätsmodus gesetzt ist, kann der Server maximal zwei SSO-Cookies an den Browser zurücksenden. In einigen Fällen sendet der Server einfach nur das kompatible SSO-Cookie.

Weitergabe der Sicherheitseinstellungen für eingehende Webanforderungen

Wenn die Weitergabe von Sicherheitsattributen für eingehende Webanforderungen aktiviert ist, werden Sicherheitsattribute an die Frontend-Application-Server weitergegeben. Ist diese Option inaktiviert, wird das SSO-Token (Single Sign-On) für die Anmeldung und das erneute Erstellen des Subjekts aus der Benutzer-Registry verwendet.

Wenn der Anwendungsserver einem Cluster angehört und der Cluster mit einer DRS-Domäne (Data Replication Service) konfiguriert ist, wird die Weitergabe durchgeführt. Falls DRS nicht konfiguriert ist, enthält das SSO-Token die Informationen zum Ursprungsserver.

Mit diesen Informationen kann der Empfangsserver einen MBean-Aufruf an den Ursprungsserver absetzen, um die ursprünglich serialisierten Sicherheitsattribute abzurufen.




Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks
Zugehörige Verweise
Anmeldemoduleinstellungen für Java Authentication and Authorization Service


Dateiname: usec_sso.html