Paramètres de connexion unique

Cette page permet de définir les valeurs de configuration pour la connexion unique (SSO).

Pour afficher cette page de la console d'administration, procédez comme suit :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Authentification, cliquez sur Sécurité Web et SIP > Connexion unique (SSO).
Activé

Indique que la fonction de connexion unique est activée.

Les applications Web qui utilisent les pages de connexion de style J2EE FormLogin, telles que la console d'administration, exigent que la fonction SSO soit activée. Désactivez SSO uniquement pour certaines configurations avancées dans lesquelles les cookies de type SSO LTPA ne sont pas requis.

Type de données : Booléen
Valeur par défaut Activé
Portée Activé ou désactivé
SSL requis

Indique si la fonction SSO est activée uniquement lorsque les demandes sont transmises via les connexions SSL HTTPS.

Type de données : Booléen
Valeur par défaut Désactivée
Portée Activée ou Désactivée
Domain name (nom de domaine)

Indique le nom de domaine (.ibm.com, par exemple) pour tous les hôtes SSO (single sign-on).

Le serveur d'applications utilise toutes les informations après la première période, de gauche à droite, pour les noms de domaine. Si cette zone n'est pas renseignée, le navigateur Web utilise par défaut le nom de l'hôte sur lequel est exécutée l'application Web comme nom de domaine. De même, la connexion unique est alors restreinte au nom d'hôte du serveur d'application et ne fonctionne pas avec d'autres noms d'hôte de serveur d'application dans le domaine.

Vous pouvez indiquer plusieurs domaines en les séparant par un point-virgule (;), un espace ( ), une virgule (,) ou le signe (|). Chaque domaine est comparé avec le nom d'hôte de la demande HTTP jusqu'à ce que la première correspondance soit trouvée. Par exemple, si vous spécifiez ibm.com;austin.ibm.com et que le système détecte une correspondance dans le domaine ibm.com en premier, le serveur d'applications ne recherche pas le domaine austin.ibm.com. Cependant, si aucune correspondance n'est détectée ni dans ibm.com ni dans austin.ibm.com, le serveur d'applications ne définit pas de domaine pour le cookie LtpaToken.

Si vous spécifiez la valeur UseDomainFromURL, le serveur d'applications définit la valeur du nom de domaine SSO sur le domaine de l'hôte utilisé dans l'adresse Web. Par exemple, si une demande HTTP provient de server1.raleigh.ibm.com, le serveur d'applications définit la valeur du nom de domaine SSO sur raleigh.ibm.com.

Conseil : La valeur UseDomainFromURL ne dépend pas des majuscules/minuscules. Vous pouvez entrer usedomainfromurl pour utiliser cette valeur.
Type de données : Chaîne
Mode interopérabilité

Indique qu'un cookie interopérable est envoyé au navigateur pour prendre en charge les serveurs antérieurs.

Dans WebSphere Application Server, Version 6 et version supérieure, un nouveau format de cookie est nécessaire pour la fonctionnalité de propagation des attributs de sécurité. Lorsque l'indicateur de mode d'interopérabilité est activé, le serveur peut renvoyer un maximum de deux cookies SSO au navigateur. Dans certains cas, le serveur envoie seulement le cookie SSO interopérable.

Propagation des attributs de sécurité entrants Web

Lorsque cette option est activée, les attributs de sécurité sont propagés vers les serveurs d'applications frontaux. Lorsque cette option est désactivée, le jeton SSO (Single Sign-On) est utilisé pour la connexion et la création du sujet à partir du registre d'utilisateurs.

Si le serveur d'applications est un membre d'un cluster et que ce cluster est configuré avec un domaine DRS (Data Replication Service), la propagation a lieu. Si DRS n'est pas configuré, le jeton SSO contient les informations du serveur d'origine.

Grâce à ces informations, le serveur de réception peut contacter le serveur d'origine à l'aide d'un appel MBean pour extraire les attributs de sécurité sérialisés d'origine.




Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées
Référence associée
Paramètres des modules de connexion pour JAAS (Java Authentication and Authorization Service)
Information associée
Internet Explorer ne définit pas de cookie pour les domaines à deux lettres (en ligne)


Nom du fichier : usec_sso.html