多台伺服器階段作業型鑑別(單一登入)
多台伺服器階段作業型鑑別(也稱為單一登入 (SSO)),可讓網路使用者登入一次 Domino® 或 WebSphere® 伺服器,即可在啟用單次登入 (SSO) 的相同 DNS 網域中,存取任何其他 Domino® 或 WebSphere® 伺服器,而不需要再次登入。
執行這項作業的原因和時機
使用者網路瀏覽器必須已啟用 Cookie,因為伺服器所產生的認證記號會以 Cookie 傳送到瀏覽器。
請執行下列動作,來設定它:
- 在「Domino® 名錄」中建立全網域配置文件(網路SSO 配置文件)。(您在 Domino® 網域或目錄中可具有多個網路SSO 配置文件。)如果使用網際網路網站,您可以為每個「網際網路網站」建立 SSO 配置文件(不過,並非所有通訊協定都能接受「網際網路網站」配置)。
- 在「網站」文件或「伺服器」文件中,針對階段作業型鑑別啟用「多台伺服器 (SSO)」選項。
您可以在多個 Domino® 網域中啟用單一登入。
SSO 功能會讓使用者登入混合環境並在其中使用多重伺服器變得更容易。請使用下列清單來配置 Domino® 環境,以確保 SSO 配置成功。
一般問題
執行這項作業的原因和時機
- LTPA 群組中的所有伺服器必須使用相同的機制,以供配置網際網路存取權。它們必須全部使用「網際網路網站」文件,或者必須全部擁有「伺服器」文件中配置的網際網路存取權。
- 適用於參與 SSO 伺服器的 DNS 網域,指定於 SSO 配置文件中。向為單次登入配置之伺服器發出的 URL 必須指定完整的 DNS 伺服器名稱,而非主機名稱或 IP 位址。對於可將 Cookie 傳送到伺服器群組的瀏覽器,DNS 網域會包含在 Cookie 中(如配置所指定),且 Cookie 中的 DNS 網域必須符合伺服器 URL。這就是 Cookie 為什麼無法用在整個 TCP/IP 網域中的原因。
- 叢集伺服器必須在「網站」或「伺服器」文件的主機名稱欄位中擁有完整的 DNS 伺服器名稱。這可讓「網際網路叢集管理程式 (ICM)」使用 SSO 重新導向到叢集成員。如果該處沒有 DNS 伺服器主機名稱,則 ICM 預設會僅使用 TCP/IP 主機名稱來將 URL 重新導向到叢集網路伺服器,且不會傳送 Cookie,因為 URL 中不包括 DNS 網域。
- 如果啟用「伺服器」文件中的「網際網路網站」,就會自動停用任何現有的 SSO 配置。
WebSphere® 問題
執行這項作業的原因和時機
- WebSphere® 與 Domino® 不需配置為使用相同的 LDAP 目錄;但如果 WebSphere® 與 Domino® 不共用相同的目錄,可能會有多重身分的問題需要規劃和處理。
- Websphere 無法使用 Domino® LTPA 記號。若要在相同的 LTPA 群組中包含 Domino® 與 WebSphere®,您必須從 WebSphere® 匯出 LTPA 記號,然後匯入 Domino®。
- 如果已將 WebSphere® 金鑰匯入 Domino® SSO 配置,以取得與 WebSphere® 的交互作業能力,則無法指定 SSO 閒置逾時值。WebSphere® 伺服器不接受閒置逾時值。
- 如果單一登入中的伺服器群組包括使用 Domino® LDAP 目錄的 WebSphere® 伺服器,則在該目錄中具有非階層式名稱的使用者無法使用 SSO(如果參與伺服器都是 Domino®,則 SSO 會使用非階層式使用者名稱)。