Интеграция Datapower с WL
У нас есть этот сценарий -
- Мощность данных используется в качестве аутентификации, и при успешной аутентификации (с использованием ADFS) она передает токен LTPA вызовам на рабочем месте.
- На рабочем месте мы используем WASLTPARealm и соответствующий LoginModule
- Что происходит, рабочий свет ищет, находится ли пользователь в своем реестре или нет, которому нужно снова интегрировать AD в WL.
Можно ли на рабочем месте использовать данные в качестве доверенного партнера и не искать пользователя в реестре? То, что мы ищем, это чтобы снова не звонить в AD и при этом защищать ресурсы wl...
2 ответа
WAS необходимо проверить токен LTPA, поэтому ему необходим реестр пользователей (в данном случае сервер Active Directory). Одним из решений было бы использовать доверительную аутентификацию, чтобы БЫЛО доверять запросам, поступающим от DataPower, но это означает, что должен быть реализован TAI (перехватчик доверия) (непростая задача).
БЫЛО нужно сделать авторизацию входящего пользователя. Что пытается сделать, так это проверить токен LTPA [это происходит без AD], а затем попытаться авторизовать пользователя. Это решение об авторизации должно быть откуда-то [из локального файла или через LDAP]. Другое дело, что такая авторизация может не исходить от LDAP [в большинстве случаев AD не настроен на возвращение пользователя в качестве члена определенной группы с определенными правами на ресурсы]. В этом случае WAS запрашивает у пользователя информацию об авторизации, но запрос ничего не делает, кроме двойной проверки, существует ли пользователь в конкретном реестре или нет [вы правы, что нет смысла проверять пользователя снова, если токен LTPA действителен, потому что LTPA сам генерируется из данных, которые запрашивал / аутентифицировал пользователь в [скорее всего] том же реестре]?
К сожалению, кажется, нет способа избежать этого.
- Ajitabh