我有一个基本的apache2.4 HTTP Web服务器和tomcat7应用程序服务器。CA Siteminder Webagent在HTTP Web服务器中配置,并使用mod_proxy将流量传递到应用程序服务器。当用户成功登录到SSO并将请求传递到部署在tomcat中的web应用程序时,要求标准tomcat登录。
如何停止询问tomcat标准登录,以及如何在使用siteminderwebagent进行身份验证时将角色传递给应用程序。
我们正在使用默认的tomcat管理器web应用程序,并尝试使用Siteminder web代理启用SSO。
我经历了这一切。。https://communities.ca.com/thread/97599955#comment-9760618但我不知道角色将如何传递给应用程序。
简单的答案是,在当前的设置中没有办法断言J2EE主体。当使用反向代理时,您的应用程序必须查看SM http请求标头,以确定用户身份和角色(通过SM响应(。
您的选择是:
- 更改应用程序以查找标头,而不是J2EE安全性约束(即从部署中删除约束应用程序的描述符或注释(
- 编写一个自定义TomcatValve来检查SMhttp请求头,并在应用程序之前在那里断言J2EE主体
- CA SSO确实有一个Tomcat代理,它直接安装在Tomcat服务器上——我已经十年没有使用过它了,所以我不确定它的工作效果如何,也不确定它是否断言J2EE原则
- [披露-这是自我推销]看看我公司的CA SSO扩展,它们在Tomcat、JBoss/Wardfly、WebSphere等中完全支持J2EE,并将CA SSO强制作为Servlet筛选器直接嵌入到您的应用程序中:https://www.idfconnect.com/products/sso-rest/
HTH!