我将 Tivoli Access Manager (TAM) 设置为后端某些应用程序服务器的反向代理。TAM 负责对用户进行身份验证。是否可以在后端应用程序中访问用户在 TAM 身份验证期间传入的凭据?
我需要这个,因为后端应用程序连接到主机系统,并且需要凭据才能登录。
问问题
476 次
1 回答
0
您可能有几个选择:
既然你提到了 TAM,我猜你还在使用 6.X,所以你可以使用自定义 CDAS(跨域身份验证服务)库。您需要自己在 C 中实现该库并处理身份验证部分并将明文密码作为凭证中的扩展权利返回。这将允许您将此扩展权利添加为需要密码的联结的注入 HTTP 标头。您可以在此处获取更多信息:http ://www-01.ibm.com/support/knowledgecenter/SSPREK_6.1.0/com.ibm.itame.doc_6.1/am61_web_devref58.htm%23chap-wsd-write-custom
您可以实现自己的外部身份验证接口。EAI 是 WebSEAL 可以委派认证部分的外部 Web 应用程序。在该 EAI 中,就像在 CDAS 中一样,您必须自己处理身份验证部分 - 可能针对 TAM 用户注册表 - 然后将明文密码作为凭证中的扩展属性返回,以用作连接的自定义 HTTP 标头需要它。请参阅http://www-01.ibm.com/support/knowledgecenter/SSPREK_6.1.0/com.ibm.itame.doc_6.1/am61_web_devref128.htm%23appx-wsd-eai
利用 Tivoli Federated Identity Manager 和定制 STS 链进行认证并返回明文密码作为凭证的一部分。
对于上述所有 3 个选项,您需要修改现有的后端应用程序以读取注入的 HTTP 标头并使用明文密码对主机执行操作。我已经为各种集成完成了所有 3 个操作,我认为您最好的选择是编写 EAI,因为 ISAM 7 不推荐使用 CDAS,并且第 3 个选项需要额外的软件组件。
于 2014-10-26T09:50:36.637 回答