Единый вход в Java EE

Question

Я пытаюсь реализовать единый вход между двумя приложениями Java EE. Оба этих приложения имеют общий реестр - LDAP. Я хотел бы перейти от одного приложения к другому только с одной аутентификацией.

Я использую WAS 6 / RAD 7 и настроил свой сервер для включения единого входа. Какие изменения я должен сделать в своих приложениях? Как мне проверить работу этого?

Answer 1

Реализация CAS будет работать для вас, она хорошо документирована и изменения, необходимые для "CASify" вашего приложения, очень просты

Answer 2

Как ваши приложения используют LDAP? У вас есть механизм аутентификации для конкретного приложения?

Если вы используете механизм аутентификации вашего сервера приложений Java EE (WAS), вам не нужно включать SSO в вашей WAS, чтобы пользователи могли одновременно входить в оба приложения.

В ваших дескрипторах WAR / EAR определите роли и методы аутентификации Java EE, ограничьте доступ к вашим приложениям для членов этих ролей, настройте WAS для аутентификации на вашем LDAP и во время развертывания ваших приложений связывайте роли, определенные в ваших приложениях пользователям / группам LDAP (например, всем пользователям, которые проходят аутентификацию на LDAP, или некоторым более конкретным группам).

Изменения дескрипторов WAR / EAR и параметров развертывания могут быть указаны в RAD 7 с использованием редакторов WAR / EAR, настройка LDAP должна выполняться с помощью консоли администрирования WAS.

EDIT:

ОК, давно не виделись (такой конфиг в WAS). Пришлось попробовать это самому и похоже SSO нужно включить.

Вот мои настройки: у меня было два простых приложения, одно с аутентификацией на основе форм, другое с http-аутентификацией, каждое из которых определило роль безопасности и ограничение безопасности для своих веб-ресурсов. Обе роли были связаны в редакторе EAR application.xml со всеми пользователями, прошедшими проверку подлинности (информация о развертывании для WAS хранится в ibm-application-bnd.xmi). С выключенным SSO я наблюдал то же поведение, что и вы.

Однако, после включения SSO, он начал работать ...

Как включить единый вход: есть несколько вариантов, как включить единый вход на основе LTPA с базовыми настройками (WAS 6): перейдите в консоль администратора -> Безопасность -> глобальная защита -> выберите LTPA как механизм аутентификации -> Применить, затем Безопасность -> Глобальная безопасность -> Механизмы аутентификации -> LTPA -> Единый вход -> Включено -> Применить, затем Сохранить все и перезапустить).

Дополнительные настройки ... скорее всего, существует необходимость в регенерации ключей LTPA для прод развертывание. Чтобы другие серверы WAS присоединились к единому входу, синхронизируйте ключи LTPA.

Извините за путаницу в моем первоначальном ответе.