基于IBM产品二次开发的应用和产品之间的SSO一般都利用容器认证和WAS ltpa协议实现。相关配置如下

1. 从一台WAS上导出ltpa,如果有FileNet,可以以它所在WAS为导出对象
    位置: 安全性》ltpa
    导出的ltpa文件在 WAS安装目录的server下: AppServer\profiles\AppSrv01
2. 配置WAS进行ldap认证
3. 启用“应用程序安全性”
4. 启用sso

如果有FileNet执行再执行下面步骤
5. 设置出入站通信 为 "SSL-Supported"
6. 配置WAS下WSI方式认证 FileNet的JAAS-应用程序登陆( FileNetP8) ,参见FileNet  jaas.conf.WebSphere文件

IBM产品级应用的安全性有自己相应的权限控制,二次开发的应用可能会集成一些开源安全框架,如shiro,相应的sso实现是以WAS容器为基础认证(一般realm采用ldap),对shiro认证进行击穿,充分利用其授权功能,可以规避了容器认证授权不灵活的弊处。

扩展
此种认证的应用其过期时间在web.xml和was 应用的会话管理中设置不起作用。
过期时间应在安全性》全局安全性》 ltpa中设置超时时间,这个时间应大于5分钟,且要大于等于 安全性》全局安全性》认证高速缓存的过期时间。可以同时将他们改为5分钟,之后应用就会在5分钟后过期。

Logo

权威|前沿|技术|干货|国内首个API全生命周期开发者社区

更多推荐