Domino单点登录LTPAtoken生成原理
一. WebSphere和Domino之间的SSO
首先,让我们看一下SSO是如何在Websphere和Domino之间实现的。
1、Web用户向Websphere发出登录请求。
2、Websphere判断为合法用户,登录成功。
3、生成ltpatoken并将ltpatoken写入cookie中。
这样,当Web用户继续向Domino提出登录要求时,Domino就会找到存储在cookie信息中的ltpatoken信息,判断该ltpatoken有效,完成Domino的登录过程。 这里有两个疑问。 第一,Domino是如何找到存放在Websphere中的cookie的? 因此,配置SSO时,两个系统必须位于同一个DNS域下。 由于浏览器cookie共享的限制,无法在域之间共享cookie。 (第二个问题是,domino找到这个token后,为什么知道这个ltpatoken,并认为它有效? 因此,要求domino和Websphere在生成ltpatoken时具有某些约定。 所以,在配置Domino SSO文档时需要引入Websphere的密钥。 有了这些前提,Domino和Websphere之间就可以识别彼此生成的ltpatoken,并从中读取需要登录的用户名。 如果用户名匹配(因此w和d必须使用相同的LDAP目录),则该用户完成登录。 以上是简单的Websphere和Domino之间的SSO原理。 当然SSO过程还没这么简单。 例如,需要验证ltpatoken的有效期等。
我们现在知道实现SSO的关键是LtpaToken,Websphere和Domino之间采用LtpaToken共享凭据。
基本上,任何系统都只能执行以下两项操作,因此您可能会加入LtpaToken认证的SSO计划:
1、能够生成有效的LtpaToken并提供给别人。
2、能够解析他人生成的LtpaToken。
此外,可能还有几个要求。
1、参加SSO的系统使用同一密钥生成LtpaToken,称为公钥。
2、参与SSO的用户帐户名在每个系统上一致。 每个系统从Token中读取用户名后
必须正确关联并登录到本地对应的用户。
3、加入SSO的系统必须位于同一DNS域下。