Cap�tulo 13
Configuraci�n del inicio de sesi�n �nico

Este cap�tulo describe la forma de configurar el inicio de sesi�n �nico (SSO, del ingl�s Single Sign-On) una vez terminado el proceso de instalaci�n.

Este cap�tulo incluye los siguientes apartados:

Visi�n general del inicio de sesi�n �nico en Java Enterprise System
Configuraci�n de Messaging Server y Calendar Server para que admitan el SSO
Configuraci�n del SSO para los canales de correo y de calendario de Portal

---

Visi�n general del inicio de sesi�n �nico en Java Enterprise System

El inicio de sesi�n �nico es la posibilidad que tiene un usuario de Java Enterprise System para iniciar sesi�n una sola vez usando un ID y una contrase�a de usuario y tener acceso a diversas aplicaciones de productos de componentes de Sun ONE.

Cuando utilice los servicios incorporados de Java Enterprise System, Identity Server 6.1 es la puerta de enlace oficial para el inicio de sesi�n �nico. Esto quiere decir que los usuarios tienen que iniciar sesi�n en Identity Server 6.1 para obtener acceso a otros servidores configurados con SSO. Si desea obtener m�s informaci�n acerca del SSO en Identity Server 6.1, consulte el cap�tulo 4, “Single Sign-on and Sessions”, en Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10).

El inicio de sesi�n �nico en Java Enterprise System se divide en tres tipos:

Servicios incorporados. Se incluyen en esta categor�a Calendar Server,
Instant Messaging, Messaging Server y Portal Server. S�lo necesita ejecutar la configuraci�n de estos productos para activar el SSO.
Servicios de servidor de aplicaciones internas. Si ha creado su propio servicio de servidor de aplicaci�n interna, necesitar� descargar, instalar y configurar un agente de directivas (policy agent), si est� disponible para su plataforma.
Aplicaciones internas que no utilizan un servidor de aplicaciones. Se incluyen en esta categor�a las aplicaciones, sean Java o no, desarrolladas internamente para las que es imprescindible el uso de Identity Server SDK para habilitar el SSO.

Este cap�tulo se centra en la descripci�n de la configuraci�n de los servicios incorporados de Java Enterprise System para que se puedan utilizar con el SSO. En este cap�tulo, tambi�n se hace referencia a este tipo de inicio de sesi�n �nico como SSO de Identity Server 6.1.

Para servicios desarrollados internamente con servidores de aplicaciones compatibles, consulte la siguiente documentaci�n si desea obtener m�s informaci�n:

Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10)
Sun ONE Identity Server Policy Agent 2.1 J2EE Policy Agents Guide (http://docs.sun.com/doc/816-6884-10)
Sun ONE Identity Server Policy Agent 2.1 Web Policy Agents Guide (http://docs.sun.com/doc/816-6772-10)

Para aplicaciones desarrolladas internamente, ya sean Java o no, consulte la siguiente documentaci�n si desea obtener m�s informaci�n.

Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10)
Sun ONE Identity Server 6.1 Administrator’s Guide (http://docs.sun.com/doc/816-6773-10)

Agentes de directivas

Identity Server admite dos tipos de agentes de directivas: el agente de Web y el agente de J2EE/Java. El agente de Web respalda las directivas basadas en URL y el agente de J2EE/Java respalda la seguridad y las directivas basadas en J2EE.

Los dos tipos est�n disponibles para su instalaci�n por separado de Identity Server y se pueden descargar desde:

http://wwws.sun.com/software/download/inter_ecom.html

Utilizaci�n del SSO en Calendar Server y Messaging Server

Tenga en cuenta lo siguiente cuando configure el SSO para Calendar Server y Messaging Server:

La sesi�n de webmail o de calendario es v�lida mientras lo sea la sesi�n de Identity Server. Cuando un usuario cierra la sesi�n de Identity Server, autom�ticamente se cierra la sesi�n de webmail o de calendario (cierre de sesi�n �nico).
Las aplicaciones con SSO deben estar en el mismo dominio DNS (dominio de cookies).
Las aplicaciones con SSO deben tener acceso a la URL de verificaci�n de Identity Server (servicio de nomenclatura).
Los exploradores deben admitir cookies.

---

Configuraci�n de Messaging Server y Calendar Server para que admitan el SSO

Hay dos m�todos para configurar Messaging Server y Calendar Server para el uso del SSO:

mediante Identity Server 6.1;
mediante la tecnolog�a de conjuntos de confianza de los Servidores de comunicaciones

La utilizaci�n de un conjunto de confianza es un m�todo heredado para implementar el SSO. A pesar de que este m�todo le proporciona algunas funciones que no est�n disponibles en el SSO de Identity Server, no se recomienda su uso ya que los desarrollos que se realicen en el futuro tendr�n que depender de Identity Server.

El siguiente procedimiento describe el m�todo mediante el uso de
Identity Server 6.1. Consulte Sun ONE Messaging Server 6.0 Administrator’s Guide (http://docs.sun.com/doc/816-6738-10) y Sun ONE Calendar Server 6.0 Administrator’s Guide (http://docs.sun.com/doc/816-6708-10) para obtener m�s informaci�n acerca del SSO de un conjunto de confianza.

    Para configurar Messaging Server con objeto de que admita el SSO

Utilice los comandos configutil para establecer los cuatro par�metros de SSO para Messaging Server. S�lo se requiere uno de ellos, local.webmail.sso.amnamingurl, para activar el SSO con Messaging Server. Para activar el SSO, ajuste este par�metro a la URL donde Identity Server ejecuta el servicio de nomenclatura.

./configutil -o local.webmail.sso.amnamingurl -v http://host:port/amserver/namingservice ./configutil -o local.webmail.sso.amcookie -v iPlanetDirectoryPro ./configutil -o local.webmail.sso.singlesignoff -v 1 ./configutil -o service.http.ipsecurity -v no

En la siguiente tabla se explican los par�metros de SSO.

Tabla 13-1  Par�metros de SSO de Messaging Server 

Par�metro	Descripci�n
local.webmail.sso.amnamingurl	Indica la URL del servicio de nomenclatura de SSO de Identity Server. De forma predeterminada: http://IdentityServer:port/amserver/namingservice en la que IdentityServer es el nombre totalmente cualificado de Identity Server y port es el n�mero de puerto de Identity Server.
local.webmail.sso.amcookie	Nombre de cookies de Identity Server. Si Identity Server est� configurado para utilizar otro nombre de cookie, tiene que configurar ese nombre en Messaging Server como local.webmail.sso.amcookiename, de forma que los productos de componentes sepan d�nde buscar a la hora de ejecutar el SSO. El valor predeterminado es iPlanetDirectoryPro y no debe cambiarse si la configuraci�n de Identity Server es la predeterminada. Valor predeterminado: iPlanetDirectoryPro
local.webmail.sso.singlesignoff	Activa (“s�”) o desactiva (“no”) el cierre de sesi�n �nico desde Messaging Server a Identity Server. Si est� activado, el usuario que cierre la sesi�n de Messaging Server tambi�n cerrar� la sesi�n de Identity Server, as� como cualquier otra sesi�n que el usuario haya iniciado mediante Identity Server. Dado que Identity Server es la puerta de enlace de autenticaci�n, el cierre de sesi�n �nico siempre est� activado desde Identity Server a Messaging Server. Valor predeterminado: s�
service.http.ipsecurity	Indica si se debe restringir o no el acceso a las sesiones a las direcciones IP desde las que se inicia sesi�n. Si el valor es afirmativo, cuando el usuario inicia sesi�n, el servidor recuerda la direcci�n IP que usa el usuario. Entonces, s�lo se permitir� que sea esa direcci�n IP la que use la cookie de sesi�n que emite para el usuario. Valor predeterminado: s�

Reinicie Messaging Server.
Si necesita configurar la autenticaci�n del proxy, consulte “Configuraci�n de la autenticaci�n del proxy”.

    Para configurar Calendar Server con objeto de que admita el SSO

Para Calendar Server, edite los siguientes par�metros en el archivo cal_svr_base/etc/opt/SUNWics5/config/ics.conf:

local.calendar.sso.amnamingurl="http://host:port/amserver/namingservice" local.calendar.sso.amcoookiename="iPlanetDirectoryPro" local.calendar.sso.logname="am_sso.log" local.calendar.sso.singlesignoff="yes" service.http.ipsecurity="no" render.xslonclient.enable="no"

La siguiente tabla muestra los par�metros de SSO de Calendar Server.

Tabla 13-2  Par�metros de SSO de Calendar Server 

Par�metro	Descripci�n
local.calendar.sso.amnamingurl	Indica la URL del servicio de nomenclatura de SSO de Identity Server. De forma predeterminada: http://IdentityServer:port/amserver/namingservice en la que IdentityServer es el nombre totalmente cualificado de Identity Server y port es el n�mero de puerto de Identity Server.
local.calendar.sso.amcoookiename	Nombre de cookies de Identity Server. Si Identity Server est� configurado para utilizar otro nombre de cookie, tiene que configurar ese nombre en Calendar Server como local.webmail.sso.amcookiename, de forma que los productos de componentes sepan d�nde buscar a la hora de ejecutar el SSO. El valor predeterminado es iPlanetDirectoryPro y no debe cambiarse si la configuraci�n de Identity Server es la predeterminada. Valor predeterminado: iPlanetDirectoryPro
local.calendar.sso.singlesignoff	Activa (“s�”) o desactiva (“no”) el cierre de sesi�n �nico desde Calendar Server a Identity Server. Si est� activado, el usuario que cierre la sesi�n de Calendar Server tambi�n cerrar� la sesi�n de Identity Server, as� como cualquier otra sesi�n que el usuario haya iniciado mediante Identity Server. Dado que Identity Server es la puerta de enlace de autenticaci�n, el cierre de sesi�n �nico siempre est� activado desde Identity Server a Calendar Server. Valor predeterminado: s�
service.http.ipsecurity	Indica si se debe restringir o no el acceso a las sesiones a las direcciones IP desde las que se inicia sesi�n. Si el valor es afirmativo, cuando el usuario inicia sesi�n, el servidor recuerda la direcci�n IP que usa el usuario. Entonces, s�lo se permitir� que sea esa direcci�n IP la que use la cookie de sesi�n que emite para el usuario. Valor predeterminado: s�
render.xslonclient.enable	Controla el procesamiento en el cliente (s�lo para Internet Explorer 6.0 o una versi�n posterior). De forma predeterminada, este valor es “s�”. Para salir del procesamiento en el cliente, establezca el par�metro en “no” y luego reinicie Calendar Server. Nota: Establezca este par�metro en “no” para desactivar las hojas de estilo en Internet Explorer; en caso contrario, Calendar Server no funcionar� a trav�s de Identity Server.

Reinicie Calendar Server.
Si necesita configurar la autenticaci�n del proxy, consulte “Configuraci�n de la autenticaci�n del proxy”.

    Para configurar Instant Messaging con objeto de que admita el SSO

Instant Messaging ofrece compatibilidad “de serie” con el inicio de sesi�n �nico de Identity Server. Durante el proceso de configuraci�n que se incluye en la instalaci�n de Instant Messaging, el programa de configuraci�n pregunta si la implementaci�n har� uso del SSO. La pregunta en concreto es si el programa de configuraci�n encuentra Identity Server SDK en el sistema.

La siguiente tabla muestra los par�metros de inicio de sesi�n �nico del archivo ims_svr_base/SUNWiim/iim.conf para Instant Messaging.

Tabla 13-3  Par�metros de SSO de Instant Messaging 

Par�metro	Descripci�n	Valores
iim_server.usesso	Este par�metro le indica al servidor si debe depender o no del proveedor de SSO durante la autenticaci�n. Un proveedor de SSO es un m�dulo que el servidor utiliza para validar un ID de sesi�n con un servicio de SSO. En la implementaci�n de un portal, la API de sesi�n de Portal Server proporciona a Instant Messaging la capacidad para validar un ID de sesi�n enviado por un cliente. El par�metro iim_server.usesso se utiliza junto con el par�metro iim_server.ssoprovider.	El valor de este par�metro puede ser 0, 1o -1. 0 - No utilizar el proveedor de SSO (predeterminado). 1 - Utilizar el proveedor de SSO primero y establecer como predeterminado LDAP si la validaci�n de SSO falla. -1- Utilizar s�lo el proveedor de inicio de sesi�n �nico sin intentar la autenticaci�n LDAP aunque la validaci�n de SSO falle.
iim_server.sso.update	Define si activa o no la finalizaci�n o la caducidad de la sesi�n.	Puede ser true o false.
iim_server.ssoprovider	Este par�metro especifica la clase que implementa el proveedor de SSO. Si iim_server.usesso es diferente a 0 y esta opci�n no est� definida, el servidor utiliza el proveedor de SSO predeterminado basado en Portal Server. (Consulte la documentaci�n sobre la API de Instant Messaging para obtener m�s informaci�n.)	Nombre de clase de la implementaci�n del proveedor de SSO.

Consulte el ap�ndice A, “Instant Messaging Configuration Parameters”, de Sun ONE Instant Messaging 6.1 Administrator’s Guide (http://docs.sun.com/doc/817-4113-10) para obtener m�s informaci�n.

    Para verificar el SSO para Messaging Server, Calendar Server y Instant Messaging

Inicie sesi�n como un usuario v�lido en el escritorio del portal.
En el explorador, escriba la URL de Messaging Server.

No se le debe pedir que inicie sesi�n en Messaging Server.

En el explorador, escriba la URL de Calendar Server.

No se le debe pedir que inicie sesi�n en Calendar Server.

Ejecute el cliente de Instant Messenger, ya sea mediante el escritorio del portal o escribiendo la URL del servidor de Instant Messaging en el explorador.

No se le debe pedir que inicie sesi�n en Instant Messaging.

    Para resolver problemas relacionados con el SSO

Si tiene problemas con el SSO, compruebe el archivo de registro de webmail, msg_svr_base/log/http, por si tuviera fallos.
Aumente el nivel de registro:

configutil -o logfile.http.loglevel -v debug

Compruebe los mensajes de amsdk en el archivo msg_svr_base/log/http_sso y luego aumente el nivel de registro de amsdk:

configutil -o local.webmail.sso.amloglevel -v 5

Los nuevos niveles de registro s�lo surtir�n efecto cuando haya reiniciado el servidor.

Aseg�rese de utilizar nombres de host totalmente cualificados, tanto para Identity Server como para Messaging Server, durante el inicio de sesi�n. Dado que las cookies se comparten entre servidores de un mismo dominio y que los exploradores no saben cu�l es el dominio de los nombres de los servidores locales, deber� utilizar nombres totalmente cualificados en el explorador para que funcione el inicio de sesi�n �nico.

---

Configuraci�n del SSO para los canales de correo y de calendario de Portal

Portal Server proporciona canales de correo y de calendario dise�ados espec�ficamente para Messaging Server y Calendar Server. Para procesar el contenido de los mensajes y del calendario en el mismo escritorio del portal, los canales se conectan a sus respectivos servicios de servidor y as� consiguen la informaci�n necesaria cada vez que el escritorio se carga.

Ambos canales se sirven de las funciones de SSO Portal Server, Messaging Server y Calendar Server preexistente conocidas como servicio del adaptador de SSO y autenticaci�n del proxy. El servicio del adaptador de SSO procede de Identity Server y Portal Server. La autenticaci�n del proxy es una caracter�stica presente en Messaging Server y Calendar Server.

Servicio del adaptador de SSO

En versiones anteriores de Portal Server, los canales del portal ejecutaban el SSO mediante mecanismos propios. La implementaci�n subyacente se basa en el servicio del adaptador de SSO de Identity Server, que se debe configurar para cada canal mediante la consola de Identity Server. Este mecanismo de SSO de los canales del portal heredado s�lo es necesario cuando se utilicen canales de Portal Server.

Nota	Actualmente, la implementaci�n del servicio del adaptador de SSO s�lo es compatible con Portal Server. No confunda el servicio del adaptador de SSO con el inicio de sesi�n �nico de Identity Server 6.1. El servicio del adaptador de SSO permite a los usuarios finales la utilizaci�n de aplicaciones, tales como un proveedor Portal Server o cualquier otra aplicaci�n Web, para conseguir acceso autenticado a los diferentes servidores de recursos mediante un �nico inicio de sesi�n. Los servidores de recursos a los que se tiene acceso var�an en funci�n de la implementaci�n de la interfaz del adaptador de SSO que est� disponible en el sistema. En este momento, Portal Server proporciona adaptadores de SSO para los siguientes servidores de recursos: libreta de direcciones, calendario y correo.

Visi�n general de la autenticaci�n del proxy

La autenticaci�n del proxy requiere una cuenta de usuario del proxy, que opera como un agente de confianza en nombre de los usuarios. Los usuarios del proxy de Messaging Server y Calendar Server se utilizan para proporcionar autenticaci�n a los usuarios finales sin necesidad de contrase�as para dichos usuarios.

Los canales actuales de Messaging Server y Calendar Server utilizan el servicio del adaptador de SSO para que Portal Server realice la autenticaci�n con sus respectivos servicios de servidor. Al registrar el nombre y la contrase�a de usuario del proxy con las plantillas del adaptador de SSO de correo y de calendario de Portal Server, los usuarios no tienen que introducir sus nombres de usuario ni sus contrase�as.

Para esta funci�n, tiene que definir los usuarios del proxy para Messaging Server y Calendar Server.

La siguiente figura muestra el uso que el servicio del adaptador de SSO hace de la autenticaci�n proxy con Calendar Server.

Figura 13-1  Servicios del adaptador de SSO que utilizan la autenticaci�n del proxy

En la figura:

El usuario inicia sesi�n en el escritorio de Portal Server.
El canal del escritorio de Calendar autentica con Calendar Server. El usuario del proxy autentica en nombre del usuario.
El usuario del proxy obtiene la informaci�n de calendario del usuario en nombre del usuario.
El canal del calendario procesa la informaci�n en formato HTML y la devuelve al escritorio.

La configuraci�n de la autenticaci�n del proxy y del servicio del adaptador de SSO s�lo es necesaria para los canales de portal de correo y de calendario. La autenticaci�n del proxy y el servicio del adaptador de SSO no sustituyen el nuevo mecanismo de SSO de Identity Server 6.1. Debe habilitar el SSO de Identity Server 6.1 SSO en Messaging Server y Calendar Server para que el inicio de sesi�n �nico funcione correctamente en todo el sistema.

La siguiente figura muestra las relaciones entre el SSO de Identity Server 6.1 y el mecanismo de SSO de los canales de Portal Server.

Figura 13-2  SSO de Identity Server y mecanismo de SSO de los canales de Portal Server

En la figura:

Las l�neas de puntos muestran c�mo se produce la comunicaci�n de SSO de Identity entre el usuario final e Identity Server, Portal Server, Calendar Server y Messaging Server. La comunicaci�n de SSO de Identity tambi�n se efect�a entre Identity Server, Calendar Server y Messaging Server.
La l�nea continua muestra c�mo se produce la comunicaci�n del adaptador de SSO y la autenticaci�n del proxy entre los canales de correo y de calendario con sus respectivos servicios de servidor de Messaging Server y Calendar Server.

La siguiente figura muestra un ejemplo del uso del canal de calendario.

Figura 13-3  Comunicaci�n de SSO y del canal de calendario de Identity Server

En la figura:

El usuario realiza la autenticaci�n con Identity Server.
El usuario accede al escritorio del portal mediante una cookie de
Identity Server.
Portal Server valida la cookie con Identity Server.
El canal de calendario pide el contenido del calendario.
La plantilla de configuraci�n del adaptador de SSO lee las credenciales del proxy.
El usuario del proxy realiza la autenticaci�n en nombre del usuario.
Se devuelve el contenido del escritorio, incluido el canal de calendario ya procesado.
El usuario accede a Calendar Server. Calendar Server comprueba la cookie de sesi�n de Identity con Identity Server. Identity Server comprueba la cookie de sesi�n y proporciona la informaci�n de usuario necesaria para iniciar la sesi�n de Calendar.

Configuraci�n de la autenticaci�n del proxy

Para configurar la autenticaci�n del proxy para los canales de calendario y de correo, debe acceder a las plantillas del adaptador de SSO mediante la consola de Identity Server, as� como acceder a los servidores de comunicaci�n de Sun ONE. La configuraci�n de la autenticaci�n del proxy implica:

editar las plantillas del adaptador de SSO;
acceder a Messaging Server para habilitar la autenticaci�n del proxy para el canal del correo;
acceder a Calendar Server para habilitar la autenticaci�n del proxy para el canal del calendario;
comprobar que la autenticaci�n del proxy funciona.

    Para editar las plantillas del adaptador de SSO

Utilice la consola de Identity Server para editar las plantillas del adaptador de SSO. Tiene que editar las cadenas que afectan a los canales de calendario y de correo. Uno de los factores distintivos de las cadenas es el protocolo utilizado:
El canal del calendario utiliza el protocolo HTTP
El canal del correo utiliza el protocolo IMAP o el protocolo POP

Para obtener instrucciones precisas sobre la ejecuci�n de este procedimiento, consulte el cap�tulo 13, “Configuring the Communication Channels”, de Sun ONE Portal Server 6.2 Administrator’s Guide (http://docs.sun.com/doc/816-6748-10).

    Para configurar la autenticaci�n del proxy para Messaging Server y Calendar Server en Portal Server

Para Messaging Server, cambie al directorio ms_svr_base/sbin. Por ejemplo:

cd /opt/SUNWmsgsr/sbin

Compruebe que el archivo store.admin contiene “admin”:

./configutil -o store.admins

Escriba lo siguiente:

./configutil -o service.http.allowadminproxy -v yes

Reinicie Messaging Server.
Para Calendar Server, edite el archivo cal_svr_base/etc/opt/SUNWics5/config/ics.conf:

<Elimine los comentarios y modifique el siguiente par�metro:> service.http.allowadminproxy=”yes” <Compruebe que estos par�metros est�n correctamente definidos:> service.admin.calmaster.userid=”calmaster” service.admin.calmaster.cred=”password”

Reinicie Calendar Server.

    Para comprobar la autenticaci�n del proxy

Utilice este procedimiento para comprobar que los canales de calendario y de mensajes funcionan correctamente desde el escritorio de Portal Server:

Inicie sesi�n como un usuario v�lido en el escritorio del portal.
Examine los canales de calendario y de mensajes.

Deber�an mostrar la informaci�n adecuada.

Personalice el canal del calendario para mejorar la visualizaci�n.

Seleccione “Opciones de visualizaci�n del canal” y cambie la visualizaci�n del calendario de “Diario” a “Semanal”.

Anterior      Contenido      �ndice      Siguiente

---

Copyright 2003 Sun Microsystems, Inc. Todos los derechos reservados.