WebSeal单点登陆

WebSeal单点登陆

作为学习整理，部分内容来自网络和官方文档。

LDAP

LDAP可以看作一种数据库，分为客户端和服务端。服务端是用来存放资源，客户端用来操作资源。它是一种树形存储结构，遍历起来会比较快。

LDAP可以通过JDBC也可以通过JNDI来操作。

LDAP是一种开放的Internet标准，它的协议支持跨平台。

LTPA令牌

在WAS应用服务中，用到了WebSeal，然后接触到了LTPA令牌。深入了解一下。

Lightweight Third-Party Authentication (LTPA)" LPTA is an authentication technology used in IBM WebSphere and Lotus Domino products. LTPA是一种轻量级的第三方认证，在WAS服务和Lotus Domino产品中使用。

LtpaToken2

相比于LtpaToken，它拥有更强大的加密功能，可以在添加更多的属性，在身份标识的验证中，增加其他的唯一性考虑。

如果应用了LTPA技术，那么当你在WEB服务器中的一个项目中验证了身份，便可以访问服务器中的其他项目。这种环境也就是SSO。

流程：

1.    USER请求被WEBSEAL保护的资源，USER提供证书供WEBSEAL验证。

2.    WEBSEAL通过用户注册表来验证USER身份，验证通过后生成LTAP令牌cookie。

3.    通过配置的联结将请求传递给IBM HTTP Server，联结的配置要将HTTP header包含步骤2中创建的iv-user，iv-groups 信息和LTPA token。

4.    通过Application Server插件确定将请求转发给was应用程序或者克隆。

5.    Application Server获取LTPA token，为此用户创建session cookie，并假定其已经通过验证。WebSphere Portal在LDAP中搜索组信息，从数据库获取资源映射，然后显示门户页面。

WebSeal junction：

文档上的介绍为【前端 WebSEAL 服务器和后端 Web 应用程序服务器之间的 HTTP 或 HTTPS 连接。结点从逻辑上将后端服务器的 Web 空间与 WebSEAL 服务器的 Web 空间结合起来，从而产生整个 Web 对象空间的统一视图。结点允许 WebSEAL 代表后端服务器提供保护性服务。WebSEAL 在将所有对资源的请求通过结点传递给后端服务器之前执行那些请求的认证与授权检查。结点同时还允许在客户机和所联结的后端应用程序之间实现各种单一注册解决方案。】

** 先整理这些，后面再整理