基于Portal与TAMeb的单点登录功能研究与实现

摘要：介绍了IBM WebSphere Portal与TAMeb（IBM Tivoli Access Manager for e-business）的功能和特点，文章分析与实现了Portal与TAMeb的单点登录（Single Sign On 简称为SSO）功能。

关键词：单点登录 Portal TAMeb

高校信息化的建设是以网络为基础、以应用为核心。利用先进的信息技术进行管理，是一个由点到面、从局部到整体的发展过程，这个过程一方面需要学校政策上的支持，另一方面需要信息技术的支撑。门户技术的应用，在学校原有信息化建设的基础上，将各个分散的应用系统聚集到统一的资源共享界面中，实现更高层次、方便的应用环境。

目前市场上存在多种应用于解决单点登录方案的应用服务器平台，但根据实际使用情况和测试数据表明，IBM公司的Websphere占据着很大的优势。IBM Websphere Portal 是业界领先的企业门户服务器产品，是IBM Websphere 中间件平台的一部分，它运行于IBM Websphere 之上，实际上是提供了一个Portlet运行容器。而TAMeb是IBM实现企业单点登录的解决方案产品之一，可以与任何第三方身份认证引擎集成。出于考虑到网络安全的需要，整个安全访问就需要通过一个产品化的、并且久经考验的技术来实现，TAMeb就是为满足这一需要而提供的安全访问平台产品。

基于以上原因本文提出了基于Portal和TAMeb为基础的单点登录平台的解决方案。

一、IBM WebSphere Portal

1、IBM WebSphere Portal介绍

WebSphere Portal提供一个可扩展的框架，用于和应用程序、内容、人员和流程的交互。自我服务特性让最终用户为门户网站定制和组织他们自己的视图，管理自己的档案，文档，和同事共享文档。WebSphere Portal还提供附加的服务，例如单点登录、安全性、Web 内容、搜索、个性化、协作服务、企业应用程序集成、移动设备的支持和站点分析等。我们可以使用这些特性将现有的各种应用系统、数据资源集成到一个可定制化的、单一的称为门户的Web表示界面中，便于用户的访问应用。

2、Portal的特点

Portal的功能与特点主要有以下三个方面：

个性化：个性化服务的基本实现给用户带来内容丰富与多功能的体现：用户可以根据自身的喜好对页面进行布局包括页面上有哪些Portlet，标题条的颜色，控制图标等内容。

内容聚集：包括内容、数据、应用的整合，Portlet规范中规定Portal的主要工作之一是聚集由各种Portlet应用生成的内容，并将这些不同来源的信息整合到一个页面中。

单次登录：顾名思义，用户只需登录Portal服务器一次就可以访问所有相互信任的应用系统，无需再分别登录每一个应用，是目前比较流行的企业业务整合的解决方案之一。

二、TAMeb（IBM Tivoli Access Manager for e-business）

1、TAMeb介绍

TAMeb是IBM的一个基于策略的电子商务访问控制解决方案，并提供安全授权和访问认证平台，对分布在不同地方的资源进行集中保护。集中管理用户和安全信息。是基于策略的安全基础设施，允许有不同的需求和权限的用户安全的访问企业web环境。

TAMeb的主要逻辑部件

策略管理器（Policy Server）：是整个系统的核心，负责和其它功能组件的通讯，维护着授权策略库里的信息（例如：用户信息、被保护的资源信息、访问控制列表ACL的信息等）。

授权服务器（Authorization Server）：在和传统应用（非web）作集成的时候，应用程序使用由Authorization API提供的功能调用来和Authorization Server进行通讯。Authorization Server维护着一个授权策略库。

命令行工具（PDADMIN）：是一个基于命令行方式的管理工具，提供全面的管理功能。

图形化管理界面（Web Portal Manager）：即TAMeb管理界面，主要用于IBM Tivoli Access Manager的安全策略的管理，其中包括对用户、用户组、角色、权限、策略和应用访问等的管理工作。提供的是部分的管理功能。

反向服务器（WebSEAL）：也称之为请求截获者，是TAMeb的关键组件，它是一个反向器，所有HTTP/HTTPS的请求将被它所截获，通过授权策略库的验证后，再进行转发。

2、TAMeb的功能特点

TAM提供的就是一个统一的平台，统一的用户注册库和统一的策略管理服务器。TAMeb负责应用的认证服务，所有应用的访问都在TAMeb的安全域中，用户在得到鉴别后才可以访问后台的应用。通过TAMeb能集中管理用户，进行应用级别的认证和授权，利用TAMeb可以非常灵活地实现单点登陆的功能。

三、Portal与TAMeb的单点登录功能实现

1、关键技术

单点登录

单点登录（Single Sign On）简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。它的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。是实现数字校园网的一个关键，它对减少系统开发开销、统一用户及网络资源管理、有效共享资源等提供了一个很好的方式。这种方式有效地提高了各个应用系统的安全性、可靠性及统一性，方便了用户。

针对于不同的系统平台，对单点登录的要求有所不同，下面介绍一些常见的TAMeb实现用户单点登录的方式：

基于LTPA 的单点登录：LTPA （Lightweight Third-Party Authentication）是在Web环境下的单点登陆，是IBM提供的基于cookie 的轻量级的认证方式，适用于IBM提供的各种中间件产品之间的SSO。

基于代填表单的单点登录

基于代填表单的单点登录（Form-Based SSO）：这种方式对于已有系统不需要做过多的修改，允许认证服务将已认证的用户透明地登录到需要通过HTML表单认证的后台系统中，但对它们之间的帐号对应关系进行维护。

通过数字证书实现单点登录：这种实现单点登陆的方式一般会和Form-Based SSO方式一起来使用，使用这种方式可以解决用户在各个系统中的用户身份不一致的问题。建立起一个用户身份信息和后台应用系统之间的对应关系。

HTTP Header：这种方式是通过HTTP Header来传递参数iv-user来实现的，利用这种认证方式，可以把经过认证的用户身份信息（包括账号、属性信息等），通过HTTP Header传给后台的应用系统，后台的应用系统需要更改配置（或者修改认证模块），从而可以从HTTP Header中把这些用户信息截取出来，用来确认用户身份，从而实现统一认证（单点登陆）的功能。

在本实验中，我们选择使用IBM推荐的LTPA方式来实现Portal与TAMeb的单点登录。

2、Portal与WebSEAL单点登录的实现

在传统的环境中，组织内部可能有多个Web应用，每个Web应用都有他们自己的用户认证和访问授权判定的机制，当最终用户使用这些应用时，需要针对每个应用登录一次，这无疑会给用户带来很多的不便，如需要牢记多个用户ID和相对应的用户密码、浪费时间等问题。WebSEAL可以帮助用户解决这些问题，它需要在企业内部所有的Web应用前放置一个WebSEAL，所有用户对后台Web资源的访问都需要通过WebSEAL来完成，用户需要在WebSEAL上登录一次，此后，用户就可以通过WebSEAL访问自己有权访问的所有基于Web的资源和应用。

Portal和TAMeb（Webseal）的集成，简单地说是通过导入导出密钥文件实现的。以下是我们通过实践总结出来的主要过程和步骤：

主要过程：当用户请求对WebSphere Portal资源访问时，需要首先通过WebSEAL的认证。认证成功后，WebSEAL代表用户生成认证标记服务的LTPA Token。它包含用户标识、密钥和标记数据、缓冲区长度和到期信息，此信息使用于WebSEAL和WebSphere之间共享的受密码保护的密钥加密。WebSEAL在请求的HTTP头中插入LTPA Token，该请求通过连接发送到WebSphere，后端WebSphere服务器接收请求、解密LTPA Token并基于LTPA Token中提供的标识信息认证用户。

主要步骤：1）创建LTPA密钥文件，进入Websphere 的管理控制台，将LTPA密钥导出并将密钥复制到Webseal服务器上。2）创建Webseal 联结，到TAMeb的Web管理界面中创建到Portal的联结（Junction），认证方式勾选LTPA cookie，导入前面生成的密钥文件。3）创建用户和组，用于门户的访问。4）创建相关的ACL访问控制列表，给予用户和组相应的权限。5）修改或创建JMT文件，通过配置以后访问针对某些写有绝对路径的Java Script就可以直接处理了。

最后，在Webseal服务器/opt/pdweb/etc/webseald-default.conf文件中修改相关属性来更改Portal的认证及登录方式。保存后，我们可以通过访问Webseal的登录界面http：//.cn输入用户名和口令，如wpsadmin/password。就可以成功进入Portal的首页（如下图所示）。点击Portal的注销链接后，将自动跳转回WebSEAL登录界面，单点登录成功。

四、总结

在这实验中通过对IBM系统软件的学习与了解，我们采用可以为后台基于Web的资源提供单一登陆管理能力的TAMeb组件WebSEAL来实现了IBM WebSphere Portal和TAMeb之间的单点登录功能。并结合实际情况做了一个简单高效的门户系统，使用户只进行一次登录便可访问所有它有权限访问在资源，建立了一种更安全的登录方式。