基于会话的多服务器认证(单点登录)
基于会话的多服务器认证(也称单点登录 (SSO))允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次,然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino® 或 WebSphere® 服务器。
关于此任务
用户 Web 浏览器必须启用 cookie,因为服务器生成的认证令牌将置于 cookie 中发送给浏览器。
可以通过执行下列操作设置单次登录:
- 在 Domino® 目录中创建域范围的配置文档,即“Web SSO 配置”文档。(在一个 Domino® 域或目录中可以有多个“Web SSO 配置”文档。)如果使用的是因特网站点,那么可以为每个因特网站点创建多个 SSO 配置文档(但是,并非所有的协议都遵守“因特网站点”配置)。
- 在“Web 站点”文档或“服务器”文档中对基于会话的认证启用多服务器 (SSO) 选项。
您可以启用多个 Domino® 域之间的单点登录。
SSO 功能使用户能够更容易地在混合环境中注册以及使用多个服务器。使用以下列表来配置 Domino® 环境,以确保 SSO 配置成功。
一般事项
关于此任务
- 重要的一点是,所有参与 LTPA 组的服务器必须使用相同的机制来配置因特网访问。它们必须全部使用“因特网站点”文档,或者必须全部在“服务器”文档中配置了因特网访问。
- 在 SSO 配置文档中指定应用于参与 SSO 服务器的 DNS 域。发布给配置了单次登录的服务器的 URL 必须指定 DNS 服务器的全名,而不是主机名或 IP 地址。对于能够将 cookie 发送到一组服务器的浏览器来说,DNS 域包含在 cookie 中(与配置所指定的一样),并且 cookie 中的 DNS 域必须与服务器的 URL 相匹配。这就是 cookie 不能跨越 TCP/IP 域使用的原因。
- “Web 站点”或“服务器”文档的主机名字段中的集群服务器必须拥有 DNS 服务器全名。这使得 ICM(因特网集群管理器)能够重定向到使用 SSO 的集群成员。如果此外没有 DNS 服务器主机名,缺省情况下,ICM 只会将 URL 重定向到具有 TCP/IP 主机名的集群 Web 服务器。而且,由于 URL 中不包括 DNS 域,因此 ICM 将无法发送 cookie。
- 如果在“服务器”文档中启用了因特网站点,那么任何现有 SSO 配置就会被自动禁用。
WebSphere® 问题
关于此任务
- 不必针对同一个 LDAP 目录配置 WebSphere® 和 Domino®;但是,如果 WebSphere® 和 Domino® 不共享同一个目录,您可能需要考虑和解决多身份问题。
- Websphere 无法使用 Domino® LTPA 令牌。要在同一个 LTPA 组中包含 Domino® 和 WebSphere®,您必须从 WebSphere® 导出 LTPA 令牌,并将其导入到 Domino® 中。
- 如果为了与 WebSphere® 进行互操作,您已将 WebSphere® 密钥导入到 Domino® SSO 配置中,那么您无法指定 SSO 空闲超时。WebSphere® 服务器不会使用空闲超时。
- 如果参与单点登录的服务器组中包含使用 Domino® LDAP 目录的 WebSphere® 服务器,那么该目录中使用平面名称的用户将无法使用 SSO(如果所有参与服务器均为 Domino®,那么 SSO 将适用于平面用户名)。