SICHERHEIT
Warum und wann dieser Vorgang ausgeführt wird
Diese Situation tritt häufig in Endbenutzerkonfigurationen auf, in denen mehrere Verzeichnisse von mehreren an SSO teilnehmenden Servern verwendet werden, was bedeutet, dass ein Benutzer mehreren Identitäten haben kann. Beispielsweise kann ein Benutzer in einem WebSphere-LDAP-Verzeichnis als uid=jdoering,cn=Vertrieb,dc=Renovations, dc=com bekannt sein, in einem Domino-Verzeichnis jedoch als Jochen Doering/Vertrieb/Renovations. Wenn WebSphere ein LTPA-Token mit einem Benutzernamen wie Jochen Doering/Vertrieb/Renovations erhält, versucht die Software, diesen Benutzer im WebSphere-Verzeichnis zu finden. Findet sie den Benutzer nicht, weist sie das Token zurück.
Domino-Administratoren können jetzt den in einem von Domino erstellten LTPA-Token enthaltenen Benutzernamen dem Namen zuordnen, der von WebSphere erwartet wird, um sicherzustellen, dass der Name in einer gemischten Umgebung mit Domino und WebSphere erkannt wird, in der Domino und WebSphere nicht dasselbe Verzeichnis verwenden.
Anmerkung: In einer Domino-Umgebung mit verschiedenen Versionen funktioniert die Benutzernamenzuordnung im LTPA-Token nur, wenn das Token von einem Domino-Server der Version 7.0 (oder höher) erstellt wird. Wenn auf Servern mit Versionen vor Domino 7.0 das Personendokument im Feld für den vollständigen Namen als zweiten Wert den im LTPA-Token verwendeten Benutzernamen enthält (z. B. zu Aliaszwecken), können Benutzer auch auf Datenbanken auf Servern mit Domino 6.02 und höher sowie auf WebSphere-Servern zugreifen.
Wie Sie den Benutzernamen angeben, der im LTPA-Token verwendet werden soll, hängt von der Verzeichniskonfiguration ab, die in Ihrer SSO-Umgebung verwendet wird:
Anmerkung: Alle Namenszuordnungskonfigurationen in Verzeichnisverwaltungsdokumenten werden ignoriert, wenn die Zuordnungsfunktion nicht im SSO-Konfigurationsdokument aktiviert ist.
So konfigurieren Sie die Benutzernamenzuordnung in einer Umgebung mit Domino-Verzeichnis
In dieser Umgebung gibt es Domino-SSO-Benutzer, deren Personendokumente im Domino-Verzeichnis enthalten sind.
Prozedur
1. Aktivieren Sie die Namenszuordnung für den LTPA-Token. Wählen Sie im Web-SSO-Konfigurationsdokument, das Ihre SSO-Umgebung definiert, für die Option Namen in LTPA-Token zuordnen die Einstellung Aktiviert aus.
2. Klicken Sie im Personendokument des Benutzers auf Administration. Geben Sie unter Client-Informationen den DN-Namen des Benutzers ein, der von WebSphere im Feld LTPA-Benutzername erwartet wird.
uid=jdoering,cn=vertrieb,dc=renovations, dc=com
ist, geben Sie den Wert wie folgt ein:
uid=jdoering/cn=vertrieb/dc=renovations/dc=com
Obwohl der Name im Domino-Format im Feld "LTPA-Benutzername" eingegeben wird, wandelt Domino den konfigurierten LTPA-Namen in das entsprechende von WebSphere erwartete LDAP-Format um, bevor er in das von Domino erstellte LTPA-Token eingefügt wird.
So konfigurieren Sie die Benutzernamenzuordnung in einer Umgebung mit einem unternehmensweit verwendeten LDAP-Verzeichnis (einer gemischten Umgebung mit Domino- und LDAP-Verzeichnis)
In dieser Umgebung sind für einige oder alle Domino-Benutzer keine Personendokumente im Domino-Verzeichnis enthalten. Stattdessen enthält ein externes LDAP-Verzeichnis Datensätze für diese Domino-Benutzer, auf das Domino über die Verzeichnisverwaltung zugreifen kann.
2. Öffnen Sie das Verzeichnisverwaltungsdokument für das LDAP-Verzeichnis. Geben Sie im Abschnitt für die SSO-Konfiguration ein LDAP-Attribut ein, das als Name in einem für diesen Benutzer erstellten SSO-Token verwendet werden soll. Dieses Attribut wird im LTPA-Token verwendet, wenn das Feld LTPA_UserNm angefordert wird. Es ist wichtig, sicherzustellen, dass das ausgewählte Feld den Benutzernamen enthält, den WebSphere erwartet. In dieses Feld kann Folgendes eingegeben werden:
Wenn die Verzeichnisverwaltung so konfiguriert ist, dass die Suche nach einem bestimmten Benutzer eine Übereinstimmung sowohl im Domino-Verzeichnis als auch in einem LDAP-Verzeichnis findet, müssen das Domino-Personendokument und der LDAP-Datensatz für Domino konsistent sind. Domino führt zusätzliche Schritte aus, um festzustellen, ob die in beiden Verzeichnissen enthaltene Internet-E-Mail-Adresse übereinstimmt. Hierzu sucht die Verzeichnisverwaltung nach dem LDAP-Attribut mail des Benutzers. Der Wert dieses Attributs muss mit den Informationen übereinstimmen, die im Domino-Personendokument im Feld Internetadresse enthalten sind.
Tabelle 1. Werte, die für die erfolgreiche einmalige Anmeldung übereinstimmen müssen
Berücksichtigen Sie bei der Namenzuordnung die folgenden zusätzlichen Aspekte:
Zugehörige Tasks Aliasauflösung im Verzeichnisverwaltungsdokument eines Remote-LDAP-Verzeichnisses konfigurieren Serverübergreifende sitzungsbasierte Authentifizierung (einmalige Anmeldung)