我有一个Tivoli Access Manager(TAM)的设置作为后端一些应用服务器的反向代理。 TAM负责对用户进行身份验证。是否可以在后端应用程序中访问用户在TAM身份验证期间传入的凭据?
我需要这个,因为后端应用程序连接到主机系统,并且需要凭据才能登录。
答案 0 :(得分:0)
您可能有以下几种选择:
由于您提到TAM,我猜您仍在使用6.X,因此您可以使用自定义CDAS(跨域身份验证服务)库。您需要在C中自己实现库并处理身份验证部分并将明文密码作为扩展权利返回到凭证中。这将允许您将此扩展权利添加为需要密码的联结的注入HTTP标头。您可以在此处获取更多信息:http://www-01.ibm.com/support/knowledgecenter/SSPREK_6.1.0/com.ibm.itame.doc_6.1/am61_web_devref58.htm%23chap-wsd-write-custom
您可以实施自己的外部身份验证接口。 EAI是WebSEAL可以委派身份验证部分的外部Web应用程序。在那个EAI中,就像在CDAS中一样,您必须自己处理身份验证部分 - 可能是针对TAM用户注册表 - 然后将明文密码作为扩展属性返回到凭据中,以用作联结的自定义HTTP头。需要它。请参阅http://www-01.ibm.com/support/knowledgecenter/SSPREK_6.1.0/com.ibm.itame.doc_6.1/am61_web_devref128.htm%23appx-wsd-eai
利用Tivoli Federated Identity Manager和自定义STS链进行身份验证,并将明文密码作为凭据的一部分返回。
对于上述所有3个选项,您需要修改现有的后端应用程序以读取注入的HTTP标头并使用明文密码对主机执行操作。 我已经为各种集成完成了所有3个,我认为您最好的选择是编写EAI,因为CDAS已经被ISAM 7弃用,第3个选项需要额外的软件组件。