TAI (Trust Association Interceptors) WebSphere

Authentification externe

Les TAI peuvent être configurés à l'aide de tâches de configuration du portail. Le TAI Security Access Manager requiert la disponibilité du serveur d'autorisation Security Access Manager pour la connexion unique. Pour plus d'informations sur l'utilisation du TAI avec WebSphere® Application Server, voir la section des liens connexes.

Lorsqu'une requête tente d'accéder à une ressource sécurisée, WebSphere® Application Server démarre le TAI. Le TAI valide le fait que la demande provient d'un proxy d'authentification tiers autorisé et renvoie l'identité authentifiée de l'utilisateur à WebSphere® Application Server. Le TAI renvoie un non distinctif (DN) ou un nom abrégé. WebSphere® Application Server consulte alors les registres pour vérifier le nom distinctif ou convertir le nom abrégé en nom distinctif avant de rechercher si cet utilisateur fait partie d'un groupe. Si la consultation des registres échoue, WebSphere® Application Server refuse de faire confiance à l'utilisateur. Si la consultation des registres réussit, WebSphere® Application Server génère un jeton LTPA (Lightweight Third-Party Authentication) pour l'utilisateur. Il le stocke sous la forme d'un cookie pour une authentification ultérieure au cours de la session de l'utilisateur.

Un TAI n'est pas nécessaire si le proxy d'authentification tiers fournit des jetons d'identité WebSphere® Application Server natifs tels que des jetons LTPA. Actuellement, seuls Security Access Manager WebSEAL et le plug-in Security Access Manager pour Edge Server peuvent fournir des jetons d'identité WebSphere® Application Server natifs. Consultez le guide d'administration de WebSEAL pour plus de détails sur la configuration de Security Access Manager pour fournir des jetons LTPA. Le proxy d'authentification détermine le mécanisme de demande.HCL dépend du proxy d'authentification pour relayer la réussite ou l'échec de l'identificateur de l'utilisateur via le TAI ou le jeton LTPA. WebSphere® Application Server considère toutes les requêtes du TAI comme étant authentifiées, mais WebSphere® Application Server et HCL vérifient tout de même chaque utilisateur. Selon le TAI et la configuration du système, WebSphere® Application Server et HCL peuvent être configurés pour vérifier le groupe également. Même lorsque l'authentification effectuée par le proxy aboutit, WebSphere® Application Server et HCL refusent l'accès s'ils n'ont pas réussi à trouver l'utilisateur dans le registre. Par exemple, l'utilisateur d'un gestionnaire de sécurité externe n'est pas accessible à partir d'HCL, car il est configuré sur un autre registre. Il se peut également que le registre ne possède pas les mêmes propriétés de configuration de registre que le gestionnaire de sécurité externe.

TAI personnalisés

Il est possible de créer des TAI afin de permettre à d'autres services d'authentification personnalisés d'interagir avec WebSphere® Application Server. Si vous utilisez une configuration de sécurité différente, vous devez fournir et implémenter un TAI pour pouvoir communiquer avec le proxy d'authentification.