Sun logo      Zur�ck      Inhalts      Index      Weiter     

Sun Java Enterprise System 2003Q4 Installation Guide

Kapitel 13
Konfigurieren von Single Sign-On

In diesem Kapitel wird erl�utert, wie Single Sign-On (SSO) nach dem Installationsvorgang konfiguriert wird.

Dieses Kapitel enth�lt die folgenden Abschnitte:


�berblick �ber SSO bei Java Enterprise System

Mithilfe von SSO kann ein Java Enterprise System-Benutzer sich einmal mit einer Benutzer-ID und einem Passwort anmelden und hat dann Zugriff auf mehrere Produktkomponentenanwendungen von Sun ONE.

Bei der Verwendung von integrierten Java Enterprise System-Diensten dient Identity Server 6.1 als offizielles Gateway f�r SSO. Dies bedeutet, dass sich die Benutzer bei Identity Server 6.1 anmelden m�ssen, um Zugriff auf andere f�r SSO konfigurierte Server zu erhalten. Weitere Informationen zu Identity Server 6.1-SSO, erhalten Sie in Kapitel 4, „Single Sign-on and Sessions“ im Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10).

SSO bei Java Enterprise System ist in drei Typen unterteilt:

In diesem Kapitel wird die Konfiguration der integrierten Java Enterprise System-Dienste beschrieben. Diese Art von SSO wird in diesem Kapitel auch als Identity Server 6.1-SSO bezeichnet.

Weitere Informationen zu intern entwickelten Diensten auf unterst�tzten Anwendungsservern erhalten Sie in folgenden Handb�chern.

Weitere Informationen zu intern entwickelten Anwendungen, Java- oder nicht-Java, erhalten Sie in der folgenden Handb�chern.

Richtlinienagenten

Identity Server unterst�tzt zwei Arten von Richtlinienagenten: den Webagenten und den J2EE/Java-Agent. Der Webagent dient der Durchsetzung einer URL-basierten Richtlinie, w�hrend der J2EE/Java-Agent J2EE-basierte Sicherheit und J2EE-basierte Richtlinien durchsetzt.

Beide Typen sind f�r die Installation �ber Identity Server separat verf�gbar und k�nnen auf folgender Website heruntergeladen werden:

http://wwws.sun.com/software/download/inter_ecom.html

Verwendung von SSO in Calendar Server und Messaging Server

Beachten Sie bei der Konfiguration von SSO f�r Calendar Server und Messaging Server Folgendes:


Konfigurieren von Messaging Server und Calendar Serverf�r die SSO-Unterst�tzung

Messaging Server und Calendar Server k�nnen auf zwei Arten konfiguriert werden, damit die Verwendung von SSO m�glich ist:

Die Verwendung eines Trusted Circle ist die Legacy-Methode zur Implementierung von SSO. Diese Methode bietet zwar einige Funktionen, die f�r Identity Server-SSO nicht verf�gbar sind, Sie sollten jedoch vermeiden, diese Methode zu verwenden, da alle zuk�nftigen Entwicklungen auf Identity Server basieren.

Nachfolgend wird die Methode f�r Identity Server-6.1 beschrieben. Im Sun ONE Messaging Server 6.0 Administrator’s Guide (http://docs.sun.com/doc/816-6738-10) und im Sun ONE Calendar Server 6.0 Administrator’s Guide (http://docs.sun.com/doc/816-6708-10) erhalten Sie Informationen zum Trusted Circle-SSO.

    So konfigurieren Sie die Unterst�tzung f�r SSO in Messaging Server
  1. Verwenden Sie die folgenden configutil-Befehle, um diese vier SSO-Parameter f�r Messaging Server festzulegen. Nur einer dieser vier Parameter, local.webmail.sso.amnamingurl ist f�r die Aktivierung von SSO in Messaging Server erforderlich. Um SSO zu aktivieren, legen Sie diesen Parameter f�r den URL fest, unter dem Identity Server den Naming Service ausf�hrt.
  2. ./configutil -o local.webmail.sso.amnamingurl -v http://host:port/amserver/namingservice

    ./configutil -o local.webmail.sso.amcookie -v iPlanetDirectoryPro

    ./configutil -o local.webmail.sso.singlesignoff -v 1

    ./configutil -o service.http.ipsecurity -v no

    In der folgenden Tabelle werden diese SSO-Parameter erl�utert.

    Tabelle 13–1  Messaging Server SSO Parameter 

    Parameter

    Beschreibung

    local.webmail.sso.amnamingurl

    Gibt den URL des Naming Service f�r Identity Server-SSO an.

    Der Standardwert ist http://identityserver:anschluss/amserver/namingservice,

    wobei identityserver der vollqualifizierte Name von Identity Server und anschluss die Anschlussnummer f�r Identity Server ist.

    local.webmail.sso.amcookie

    Cookie-Name f�r Identity Server. Wenn Identity Server so konfiguriert ist, dass ein anderer Cookie-Name verwendet wird, muss dieser Name in Messaging Server als local.webmail.sso.amcookiename konfiguriert sein, damit die Produktkomponenten w�hrend des SSO-Vorgangs die richtigen Suchinformationen erhalten. Der Standardwert ist iPlanetDirectoryPro. Er darf nicht ge�ndert werden, wenn Identity Server standardm��ig konfiguriert ist.

    Standardeinstellung: iPlanetDirectoryPro

    local.webmail.sso.singlesignoff

    Aktiviert („ja“) oder deaktiviert („nein“) das Single Sign-Off von Messaging Server bei Identity Server.

    Wenn diese Option aktiviert ist, wird ein Benutzer, der sich bei Messaging Server abmeldet, ebenfalls bei Identity Server abgemeldet, und alle anderen Sitzungen, die der Benutzer �ber Identity Server gestartet hat, werden beendet.

    Da Identity Server als Authentifizierungs-Gateway fungiert, wird Single Sign-Off immer �ber Identity Server f�r Messaging Server aktiviert.

    Standardeinstellung: ja

    service.http.ipsecurity

    Legt fest, ob der Sitzungszugriff auf die Anmelde-IP-Adresse beschr�nkt werden soll. Wenn Sie „ja“ einstellen, speichert der Server die bei der Anmeldung des Benutzers verwendete IP-Adresse. Anschlie�end darf nur diese IP-Adresse das Sitzungs-Cookie verwenden, das an den Benutzer gesendet wird.

    Standardeinstellung: ja

  3. Starten Sie Messaging Server neu.
  4. Falls Sie die Proxy-Authentifizierung konfigurieren m�chten, erhalten Sie Informationen unter „Konfigurieren der Proxy-Authentifizierung“.
    So konfigurieren Sie die Unterst�tzung f�r SSO in Calendar Server.
  1. �ndern Sie f�r Calendar Server die folgenden Parameter in der Datei cal_svr_base/etc/opt/SUNWics5/config/ics.conf:
  2. local.calendar.sso.amnamingurl="http://host:port/amserver/namingservice"

    local.calendar.sso.amcoookiename="iPlanetDirectoryPro"

    local.calendar.sso.logname="am_sso.log"

    local.calendar.sso.singlesignoff="yes"

    service.http.ipsecurity="no"

    render.xslonclient.enable="no"

    In der folgenden Tabelle werden die Calendar Server-SSO-Parameter erl�utert.

    Tabelle 13–2  Calendar Server SSO Parameter 

    Parameter

    Beschreibung

    local.calendar.sso.amnamingurl

    Gibt den URL des Naming Service f�r Identity Server-SSO an.

    Der Standardwert ist http://identityserver:anschluss/amserver/namingservice,

    wobei identityserver der vollqualifizierte Name von Identity Server und anschluss die Anschlussnummer f�r Identity Server ist.

    local.calendar.sso.amcoookiename

    Cookie-Name f�r Identity Server. Wenn Identity Server so konfiguriert ist, dass ein anderer Cookie-Name verwendet wird, muss dieser Name in Calendar Server als local.calendar.sso.amcookiename konfiguriert sein, damit die Produktkomponenten w�hrend des SSO-Vorgangs die richtigen Suchinformationen erhalten. Der Standardwert ist iPlanetDirectoryPro. Er darf nicht ge�ndert werden, wenn Identity Server standardm��ig konfiguriert ist.

    Standardeinstellung: iPlanetDirectoryPro

    local.calendar.sso.singlesignoff

    Aktiviert („ja“) oder deaktiviert („nein“) das Single Sign-Off bei Calendar Server �ber Identity Server.

    Wenn diese Option aktiviert ist, wird ein Benutzer, der sich bei Calendar Server abmeldet, ebenfalls bei Identity Server abgemeldet, und alle anderen Sitzungen, die der Benutzer �ber Identity Server gestartet hat, werden beendet.

    Da Identity Server als Authentifizierungs-Gateway fungiert, wird Single Sign-Off immer �ber Identity Server f�r Calendar Server aktiviert.

    Standardeinstellung: ja

    service.http.ipsecurity

    Legt fest, ob der Sitzungszugriff auf die Anmelde-IP-Adresse beschr�nkt werden soll. Wenn Sie „ja“ einstellen, speichert der Server die bei der Anmeldung des Benutzers verwendete IP-Adresse. Anschlie�end darf nur diese IP-Adresse das Sitzungs-Cookie verwenden, das an den Benutzer gesendet wird.

    Standardeinstellung: ja

    render.xslonclient.enable

    Steuert die Client-seitige Wiedergabe (derzeit nur in Internet Explorer 6.0 oder h�her verf�gbar). Standardm��ig lautet der Wert f�r diesen Parameter „ja“. Setzen Sie den Parameter auf „nein“, und starten Sie Calendar Server neu, um die Client-seitige Wiedergabe zu deaktivieren.

    Hinweis: Setzen Sie diesen Parameter auf „nein“, um die Formatvorlagen f�r Internet Explorer zu deaktivieren. Anderenfalls kann Calendar Server nicht �ber Identity Server verwendet werden.

  3. Starten Sie Calendar Server neu.
  4. Falls Sie die Proxy-Authentifizierung konfigurieren m�chten, erhalten Sie Informationen unter „Konfigurieren der Proxy-Authentifizierung“.
    So konfigurieren Sie die Unterst�tzung f�r SSO in Instant Messaging.

Instant Messaging unterst�tzt Identity Server-SSO ohne Konfiguration. W�hrend der Konfiguration im Rahmen der Instant Messaging-Installation werden Sie im Konfigurationsprogramm gefragt, ob bei der Bereitstellung SSO genutzt werden soll. Hierbei ist entscheidend, ob Identity Server SDK vom Konfigurationsprogramm auf dem System gefunden wird.

In der folgenden Tabelle sind die SSO-Parameter f�r Instant Messaging in der Datei ims_svr_base/SUNWiim/iim.conf aufgef�hrt.

Tabelle 13–3  Instant Messaging-SSO-Parameters 

Parameter

Beschreibung

Werte

iim_server.usesso

Durch diesen Parameter erh�lt der Server die Anweisung, ob er bei der Authentifizierung auf den SSO-Anbieter zur�ckgreifen soll. Bei einem SSO-Anbieter handelt es sich um ein Modul, das der Server verwendet, um eine Sitzungs-ID mit einem SSO-Dienst in Verbindung zu bringen.

Bei einer Portal-Bereitstellung bietet die Server Session API f�r Instant Messaging die M�glichkeit, vom Client gesendete Sitzungs-IDs zu validieren.

Der Parameter iim_server.usesso wird in Verbindung mit dem Parameter iim_server.ssoprovider verwendet.

Der Wert f�r diesen Parameter kann 0, 1 oder -1 sein.

0 - SSO-Anbieter nicht verwenden (Standard).

1 - Zuerst SSO-Anbieter verwenden und standardm��ig auf LDAP verweisen, wenn die SSO-Validierung nicht erfolgreich ist.

-1 - Nur SSO-Anbieter verwenden und keine LDAP-Authentifizierung vornehmen, falls die SSO-Validierung nicht erfolgreich ist.

iim_server.sso.update

Legt fest, ob die Sitzungsbeendigung und der Ablauf der G�ltigkeit aktiviert werden sollen oder nicht.

Kann entweder true oder false sein.

iim_server.ssoprovider

Durch diesen Parameter wird die Klasse angegeben, durch die der SSO-Anbieter implementiert wird. Wenn der Wert f�r iim_server.usesso nicht 0 ist und diese Option nicht eingestellt ist, verwendet der Server den standardm��igen SSO-Anbieter f�r Portal Server. (Weitere Informationen hierzu finden Sie in der Dokumentation zu Instant Messaging.)

Der Klassenname der SSO-Anbieterimplementierung.

Weitere Informationen hierzu finden Sie in Appendix A, „ Instant Messaging Configuration Parameters“ im Sun ONE Instant Messaging 6.1 Administrator’s Guide (http://docs.sun.com/doc/817-4113-10)

    So pr�fen Sie SSO f�r Messaging Server, Calendar Server und Instant Messaging
  1. Melden Sie sich als g�ltiger Benutzer beim Portal-Desktop an.
  2. Geben Sie im Browser den URL f�r Messaging Server ein.
  3. Sie sollten nicht zur Anmeldung bei Messaging Server aufgefordert werden.

  4. Geben Sie im Browser den URL f�r Calendar Server ein.
  5. Sie sollten nicht zur Anmeldung bei Calendar Server aufgefordert werden.

  6. Rufen Sie den Instant Messenger-Client entweder �ber den Portal-Desktop oder durch Eingabe des URL f�r den Instant Messaging-Server in den Browser auf.
  7. Sie sollten nicht zur Anmeldung bei Instant Messaging aufgefordert werden.

    So f�hren Sie eine Fehlersuche f�r SSO durch
  1. Falls beim SSO Probleme auftreten, �berpr�fen Sie zun�chst die Webmail-Protokolldatei, msg_svr_base/log/http, auf Fehler.
  2. Erh�hen Sie die Protokollierungsstufe:
  3. configutil -o logfile.http.loglevel -v debug

  4. �berpr�fen Sie die amsdk-Meldungen in der Datei msg_svr_base/log/http_sso, und erh�hen Sie dann die amsdk-Protokollierungsstufe:
  5. configutil -o local.webmail.sso.amloglevel -v 5

    Die neuen Protokollierungsstufen werden erst nach einem Neustart des Servers wirksam.

  6. Verwenden Sie w�hrend der Anmeldung f�r Identity Server und Messaging Server nur vollqualifizierte Hostnamen. Da Cookies nur von Servern derselben Dom�ne gleichzeitig genutzt werden und den Browsern die Dom�ne f�r lokale Servernamen nicht bekannt ist, m�ssen Sie im Browser die vollqualifizierten Namen verwenden, damit SSO funktioniert.


Konfigurieren von SSO f�r Portal-Mail- und Kalenderkan�len

Portal Server bietet sowohl Mail- als auch Kalenderkan�le, die speziell auf Messaging Server und Calendar Server ausgerichtet sind. Um sowohl Mail- als auch Kalenderinhalte auf demselben Portal-Desktop anzuzeigen, stellen diese Kan�le Verbindungen zu ihren entsprechenden Back-End-Diensten her und rufen die erforderlichen Informationen bei jedem erneuten Laden des Desktop ab.

Beide Kan�le nutzen bereits vorhandene Portal Server-, Messaging Server- und Calendar Server-SSO-Funktionen, die als SSO-Adapterdienst und Proxy-Authentifizierung bezeichnet werden. Der SSO-Adapterdienst stammt von Identity Server und Portal Server. Die Proxy-Authentifizierung ist eine Funktion aus Messaging Server und Calendar Server.

SSO-Adapterdienst

In fr�heren Versionen von Portal Server konnten Portalkan�le SSO �ber eigene Mechanismen ausf�hren. Die zugrundeliegende Implementierung basiert auf dem SSO-Adapterdienst von Identity Server, der mithilfe der Identity Server-Konsole f�r jeden einzelnen Kanal konfiguriert werden muss. Dieser herk�mmliche SSO-Mechanismus f�r Portalkan�le ist nur f�r die Verwendung von Portal Server-Kan�len erforderlich.


Hinweis

Die Implementierung des SSO-Adapterdienstes unterst�tzt derzeit nur Portal Server. Verwechseln Sie den SSO-Adapterdienst nicht mit Identity Server 6.1-SSO.

Der SSO-Adapterdienst erm�glicht dem Endbenutzer die Verwendung von Anwendungen, beispielsweise eines Portal Server-Anbieters oder einer beliebigen anderen Webanwendung, um nach einmaliger Anmeldung einen authentifizierten Zugriff auf verschiedene Ressourcenserver zu erhalten. Auf welche Ressourcenserver zugegriffen werden kann, h�ngt von den Implementierungen der SSO-Adapter-Oberfl�che ab, die auf dem System verf�gbar sind.

Derzeit bietet Portal Server SSO-Adapter f�r die folgenden Ressourcenserver: „Adressbuch“, „Kalender“ und „Mail“.


�berblick �ber die Proxy-Authentifizierung

F�r die Proxy-Authentifizierung ist ein Proxy-Benutzerkonto erforderlich, das als vertrauensw�rdiger Agent im Namen der Benutzer fungiert. Die Proxy-Benutzer in Messaging Server und Calendar Server erm�glichen die Authentifizierung von Endbenutzern, ohne dass Passw�rter von Endnutzern ben�tigt werden.

Die aktuellen Messaging Server- und Calendar Server-Kan�le verwenden den SSO-Adapterdienst f�r Portal Server, um Authentifizierungen bei den entsprechenden Back-End-Servern durchzuf�hren. Durch die Registrierung des Namens und Passworts des Proxy-Benutzers in den SSO-Adapter-Vorlagen der Portal Server-Mail- und Kalenderkan�le muss der Benutzer weder Benutzernamen noch Passwort angeben.

Sie m�ssen die Proxy-Benutzer bei dieser Funktion sowohl f�r Messaging Server als auch f�r Calendar Server definieren.

Die Folgende Abbildung stellt dar, wie der SSO-Adapterdienst die Proxy-Authentifizierung mit Calendar Server durchf�hrt.

Abbildung 13–1  Verwendung der Proxy-Authentifizierung durch SSO-Adapterdienste

Diese Abbildung stellt dar, wie der SSO-Adapterdienst die Proxy-Authentifizierung mit Calendar Server durchf�hrt.

Erkl�rung zu obiger Darstellung:

  1. Der Benutzer meldet sich am Portal Server-Desktop an.
  2. Der Desktop-Kalenderkanal f�hrt eine Authentifizierung durch Calendar Server durch. Der Proxy-Benutzer f�hrt eine Authentifizierung im Namen des Benutzers durch.
  3. Der Proxy-Benutzer ruft die Kalenderinformationen des Benutzers im Namen des Benutzers ab.
  4. Der Kalenderkanal gibt die Informationen im HTML-Format wieder und gibt sie zur�ck an das Desktop.

Sie ben�tigen die Konfiguration der Proxy-Authentifizierung und des SSO-Adapterdienstes nur f�r die Mail- und Kalenderportalkan�le. Weder die Proxy-Authentifizierung noch der SSO-Adapterdienst k�nnen den neuen Identity Server 6.1-SSO-Mechanismus ersetzen. Sie m�ssen Identity Server 6.1-SSO sowohl f�r Messaging Server als auch f�r Calendar Server aktivieren, damit SSO im gesamten System ordnungsgem�� funktioniert.

In folgender Abbildung wird die gesamte Beziehung zwischen Identity Server 6.1-SSO und dem Portal Server-Kanal-SSO-Mechanismus dargestellt.

Abbildung 13–2  Identity Server-SSO und Portal Server-Kanal-SSO-Mechanismus

Diese Abbildung stellt die Mechanismen des Identity Server-SSO und des Portal Server-Kanal-SSO dar.

Erkl�rung zu obiger Darstellung:

Folgende Abbildung enth�lt ein Beispiel f�r die Verwendung des Kalenderkanals.

Abbildung 13–3  Identity Server-SSO- und Kalenderkanalkommunikation

In dieser Abbildung wird die Identity Server-SSO- und die Kalenderkanalkommunikation dargestellt.

Erkl�rung zu obiger Darstellung:

  1. Der Benutzer f�hrt die Authentifizierung bei Identity Server durch.
  2. Der Benutzer greift mit einem Identity Server-Cookie auf das Portal-Desktop zu.
    1. Portal Server validiert das Cookie mit Identity Server.
  3. Der Kalenderkanal fordert Kalenderinhalt an.
    • Proxy-Anmeldeinformationen werden aus der SSO-Adapter-Konfigurationsvorlage gelesen.
    • Der Proxy-Benutzer f�hrt eine Authentifizierung im Namen des Benutzers durch.
  4. Desktop-Inhalt, einschlie�lich des wiedergegebenen Kalenderkanals, wird zur�ckgegeben.
  5. Der Benutzer greift auf Calendar Server zu. Calendar Server �berpr�ft das Identity-Sitzungs-Cookie bei Identity Server. Identity Server validiert das Sitzungs-Cookie und stellt die erforderlichen Benutzerinformationen zum Starten einer Kalendersitzung zur Verf�gung.

Konfigurieren der Proxy-Authentifizierung

Um die Proxy-Authentifizierung f�r die Kalender- und Mailkan�le zu konfigurieren, m�ssen Sie mithilfe der Identity Server-Konsole auf die SSO-Adaptervorlagen zugreifen. Sie m�ssen au�erdem auf die Sun ONE-Kommunikationsserver zugreifen. Folgende Vorg�nge sind f�r die Konfiguration der Proxy-Authentifizierung erforderlich:

    So bearbeiten Sie SSO-Adaptervorlagen

Spezifische Anweisungen zu diesem Vorgang finden Sie in Kapitel 13, „Configuring the Communication Channels“ im Sun ONE Portal Server 6.2 Administrator’s Guide (http://docs.sun.com/doc/816-6748-10).

    So konfigurieren Sie die Proxy-Authentifizierung f�r Messaging Server und Calendar Server in Portal Server
  1. Rufen Sie f�r Messaging Server das Verzeichnis ms_svr_base/sbin auf. Beispiel:
  2. cd /opt/SUNWmsgsr/sbin

  3. �berpr�fen Sie, ob die Datei store.admin „admin“ enth�lt:
  4. ./configutil -o store.admins

  5. Geben Sie Folgendes ein:
  6. ./configutil -o service.http.allowadminproxy -v yes

  7. Starten Sie Messaging Server neu.
  8. �ndern Sie f�r Calendar Server die Datei cal_svr_base/etc/opt/SUNWics5/config/ics.conf:
  9. <Entfernen Sie die Kommentare, und bearbeiten Sie folgenden Parameter:>

    service.http.allowadminproxy=„yes“

    <�berpr�fen Sie, ob diese Parameter richtig eingestellt sind:>

    service.admin.calmaster.userid=„calmaster“

    service.admin.calmaster.cred=„passwort

  10. Starten Sie Calendar Server neu.
    So �berpr�fen Sie die Proxy-Authentifizierung

Verwenden Sie folgende Vorgehensweise am Portal Server-Desktop, um sicherzustellen, dass die Kalender- und Messaging-Kan�le ordnungsgem�� funktionieren:

  1. Melden Sie sich als g�ltiger Benutzer beim Portal-Desktop an.
  2. �berpr�fen Sie die Kalender- und Messaging-Kan�le.
  3. F�r diese Kan�le sollten die richtigen Informationen angezeigt werden.

  4. Passen Sie den Kalenderkanal an, um die Anzeige zu optimieren.
  5. W�hlen Sie die Option zum Bearbeiten der Kanalanzeigeoptionen aus, und wechseln Sie in der Kalenderansicht von „T�glich“ auf „W�chentlich“.



Zur�ck      Inhalts      Index      Weiter     


Copyright 2003 Sun Microsystems, Inc. Alle Rechte vorbehalten.