配置在 SSO LTPA 令牌中的用户名映射

为认证单点登录的用户而创建的 LTPA 令牌包括已认证用户的名称。HCL Domino®创建 LTPA 令牌时,缺省情况下,会在令牌中放入 Domino® 专有名称。如果 IBM® WebSphere® Application Server服务器从尝试访问服务器的用户那里获取令牌,那么 Websphere 服务器必须能够识别此名称格式。如果没有,那么令牌会被忽略,单点登录会失败,而且用户会被提示重新登录。

关于此任务

这种情形通常发生在终端用户配置中,在该配置中有由多种参与 SSO 的服务器使用的多个目录,因此用户可能拥有多个标识。例如,用户在 Websphere LDAP 目录中的已知名称可能为 uid=jdoe,cn=sales,dc=renovations, dc=com,但是在 Domino® 目录中,同一用户为 John P Doe/Sales/Renovations。如果 Websphere 接收到的 LTPA 令牌包含类似于John P Doe/Sales/Renovations 的用户名,那么它会尝试在 Websphere 目录中查找此用户,如果找不到,就会拒绝该令牌。

Domino® 管理员现在可以将 Domino 创建的 LTPA 令牌中显示的用户名映射到 WebSphere® 所需的名称,以确保能够在 Domino®WebSphere® 不共享同一目录的 Domino® 和 Websphere 混合环境中识别该名称。

注: 在混合发行版的 Domino® 环境中,仅当令牌由 Domino® 7.0 或更高版本服务器生成时,LTPA 令牌中的用户名映射才会生效。如果在 LTPA 令牌中使用的用户名值还在版本早于 Domino 7.0 的服务器中添加为“个人”记录全名字段中的辅助值(例如,为了使用别名),那么用户还将能够访问 Domino® 6.02 及更高版本服务器以及 Websphere 服务器上的数据库。

您如何指定在 LTPA 令牌中使用的用户名取决于您单点登录环境中所用的目录配置:

  • 如果 HCL Notes®用户信息仅包含在 Domino® 目录中,那么应在“个人”文档中指定用户名映射。
  • 如果 Notes® 用户信息包含在公司 LDAP 目录中,那么应在目录辅助中配置用户名映射。
  • 如果组织同时使用 Domino® 目录和 LDAP 目录,那么既要配置 Domino® 个人记录,又要配置目录辅助 SSO 信息。

由于 LDAP 目录字段和 Domino® 目录字段通常不是一对一的对应关系,因此通过使用“目录辅助”文档来映射名称,LDAP 管理员可以指定要将哪个 LDAP 字段用作“LTPA 用户名”字段的等效字段。

注: 如果未在 SSO 配置文档中启用映射功能,那么会忽略“目录辅助”文档中的所有名称映射配置。

Domino® 目录环境中配置用户名映射

关于此任务

在此环境中,有 Domino® SSO 用户在 Domino® 目录中具有个人记录。

过程

  1. 启用 LTPA 令牌的名称映射。在定义 SSO 环境的“Web SSO 配置”文档中,对于映射 LTPA 令牌中的名称选项,选择启用
  2. 在用户的“个人”文档中,单击管理。在客户机信息下的 LTPA 用户名字段中,输入 WebSphere® 所需的用户名 DN。

    此字段中输入的值必须唯一。也就是说,此值不应与组织中的多人匹配。通常是用户的 LDAP 专有名称 (DN)。请确保用正斜杠 (/) 分隔名称组成部分。例如,如果 LDAP DN 是

    uid=jdoe,cn=sales,dc=renovations, dc=com

    输入以下值: 

    uid=jdoe/cn=sales/dc=renovations/dc=com

结果

尽管以 Domino® 格式在 “LTPA 用户名”字段中输入了名称,但在将已配置的 LTPA 用户名放入 Domino® 创建的 LTPA 令牌之前,Domino 还是将其转换为 Websphere 所需的相应 LDAP 格式。

在公司 LDAP 目录环境(Domino® 和 LDAP 目录混合环境)中配置用户名映射

关于此任务

在此环境中,某些或所有 Domino® 用户在 Domino® 目录中没有个人记录。但这些 Domino® 用户在可通过目录辅助访问 Domino® 的外部 LDAP 目录中拥有记录。

过程

  1. 启用 LTPA 令牌的名称映射。在定义 SSO 环境的“Web SSO 配置”文档中,对于映射 LTPA 令牌中的名称选项,选择启用
  2. 打开 LDAP 目录的“目录辅助”文档。在“SSO 配置”部分中,输入 LDAP 属性,该属性应该用作为此用户所创建的 SSO 令牌中的名称。在请求 LTPA_UserNm 字段时,将在 LTPA 令牌中使用此属性。确保所选字段包含 WebSphere® 所需的用户名很重要。此字段的选项包括:
    • 任何正确的 LDAP 属性(只要它唯一标识该用户)。
    • 使用 LDAP 专有名称的 $DN 值。这是最常见的配置,表示用户的 LDAP DN 是 WebSphere® 所需的名称,而非任意某个 LDAP 字段中的名称。
    • 保留为空将缺省使用 Domino® 专有名称(如果已知)。否则,缺省值将是 LDAP 专有名称。

结果

如果目录辅助配置为搜索特定用户时同时在 Domino® 目录和 LDAP 目录中查找匹配项,那么 Domino® 需要 Domino® 个人记录与 LDAP 记录保持一致。Domino® 采取额外步骤来确定这两个目录中的因特网电子邮件地址是否具有匹配值。要完成此过程,DA 会搜索用户的 LDAP mail 属性。此值必须与在 Domino® 个人记录字段 internetaddress 中找到的信息相匹配。

1. 必须匹配才能成功使用 SSO 的值
LDAP 目录中的属性 Domino® 目录中的属性

邮件:Jbond@secret.spies.com

internetaddress: Jbond@secret.spies.com

请谨记,设置名称映射时还有以下更多注意事项:

  • 要支持别名,请在“个人”文档中,将 LDAP 名称添加到 LTPA_UserNm 字段,同时将其添加为用户名的(例如,文档属性 Fullname)字段的辅助值 。
  • HCL Sametime®服务器不支持因特网站点配置。
  • 当用户信息存储在压缩目录编目中时,不支持 LTPA 令牌中的名称映射。