Windows 单点登录环境中部署 DSAPI 过滤器的注意事项

Web 客户机的 Windows 单点登录可以与 HCL Domino® Web 服务器定制一起使用。DSAPI(Domino® Web 服务器应用程序编程接口)是一种 C API,可用于编写您自己的对 Domino® Web 服务器的扩展,通过这些扩展(例如,过滤器),您可以定制 Web 服务器的行为。

例如,可以编写 DSAPI 过滤器来为 Web 用户提供定制认证。Web 客户机的 Windows 单点登录不需要也不依赖安装任何 DSAPI 过滤器,然而,在对 Domino® 服务器(或对 Domino® 服务器上的特定“Web 站点”)启用 Windows 单点登录时可以成功部署特定类型的 DSAPI 过滤器。

尽管通常会对 Web 客户机组合使用 DSAPI 认证定制和 Windows 单点登录,但典型的场景是 DSAPI 过滤器用于控制对特定服务器 URL 的访问,而其他服务器 URL 可在标准 Domino® 认证后进行访问。通过管理对特定 URL 的访问,DSAPI 过滤器可加快定制注册处理,很可能会调用第三方系统来验证用户并确定其他所需凭证。这种情况下,就要求 DSAPI 过滤器能全面处理认证(例如,提供应用程序登录页面和处理注册输入),以便在同样包含 Web 客户机 Windows 单点登录的环境中成功运行 DSAPI 过滤器。如果 DSAPI 过滤器成功处理了用户认证,那么 Domino® 无需对用户进行认证,并且 Windows 单点登录也不会发生。

Web 客户机的 Windows 单点登录无法支持特定类型的 DSAPI 认证过滤器。由于不会对 Windows 单点登录环境中的用户显示 Domino® 登录页面,因此无法支持依赖 Domino® 登录页面来收集用户名和密码的 DSAPI 过滤器。如果 DSAPI 过滤器依赖要发送到基本认证头的 Web 服务器的用户名和密码,那么也无法支持此过滤器。此外,启用 Web 客户机的 Windows 单点登录时,无法支持将 Domino® 扩展为提供 SPNEGO 协议的 DSAPI 过滤器,原因是此类过滤器会干扰 Windows 单点登录的核心 Domino 处理。如果需要继续使用与 Web 客户机的 Windows 单点登录不兼容的 DSAPI 过滤器,那么应在单独的 Web 站点(不同于已启用 Web 客户机 Windows 单点登录的 Web 站点)中部署不兼容的 DSAPI 过滤器。