IBM WebSphere Portal 8.5: Asistencia al usuario para administradores

Inicio de sesión único de la política de proveedor de contenido

Al crear una política para el perfil, defina la autenticación para configurar el inicio de sesión único entre el puente de aplicación web y la aplicación web protegida.

HTTP básico

La autenticación HTTP básica proporciona un control de acceso simple a los recursos web. No se necesitan cookies, identificadores de sesión ni páginas de inicio de sesión. Por consiguiente, esta opción no es segura a menos que se utilice con un sistema seguro externo, como SSL.

Seleccione el ID de ranura de almacén de credenciales existente para especificar dónde recoger las credenciales de autenticación.
Importante: Cree la ranura de almacén de credenciales antes de configurar la autenticación de política. Además, asegúrese de que el usuario, que accedería a la aplicación Acoplamiento web correspondiente a esta política, tenga acceso a esta ranura de credencial. Para obtener más información sobre cómo proporcionar acceso al recurso en el portal, consulte Visualización y asignación de roles explícitos.

HTTP de resumen

La autenticación de resumen HTTP proporciona un control de acceso simple y cifrado a los recursos web.

Seleccione el ID de ranura de almacén de credenciales existente para especificar dónde recoger las credenciales de autenticación.
Importante: Cree la ranura de almacén de credenciales antes de configurar la autenticación de política. Además, asegúrese de que el usuario, que accedería a la aplicación Acoplamiento web correspondiente a esta política, tenga acceso a esta ranura de credencial. Para obtener más información sobre cómo proporcionar acceso al recurso en el portal, consulte Visualización y asignación de roles explícitos.

Autenticación basada en formulario

Algunos sitios requieren que inicie sesión con un formulario antes de que pueda navegar en el sitio. Debe configurar el puente de aplicación web para emular estos pasos. Esta característica se denomina autenticación basada en el formulario. El puente de aplicación web admite un tipo de autenticación basada en formularios.

La técnica soportada presupone que el servidor de autenticación envía de nuevo una o varias cookies en respuesta a un intento de autenticación satisfactorio. Estas cookies se utilizan en todas las llamadas posteriores dentro del portlet Acoplamiento web. Es decir, se presupone que la ubicación del inicio de sesión (o reto) y el URL real son entidades distintas. La primera ubicación sólo se utiliza para autenticar y devuelve una cookie en un mensaje de respuesta HTTP 1.1 2XX estándar. La segunda ubicación y todas las posteriores utilizan las cookies de la primera respuesta.

Recopile la siguiente información antes de configurar la autenticación basada en formulario:
  • El URL que es el destino del formulario de envío de inicio de sesión
  • Los parámetros de entrada que se utilizan para el ID de usuario y la contraseña
  • Los campos de entrada ocultos del formulario que se puedan utilizar durante el proceso de autenticación.

Para localizar el URL de destino del envío del formulario, busque la etiqueta <FORM> en la página de inicio de sesión. Examine el origen de la página. A continuación, localice el atributo ACTION. El URL del atributo ACTION es el URL que debe especificar. Especifique este URL como valor de URL de inicio de sesión. El campo Método de inicio de sesión especifica el método HTTP (por ejemplo, POST, GET). El método HTTP se utiliza para convertir la solicitud de autenticación en el URL de inicio de sesión. Su valor es el atributo Method de la etiqueta <FORM>.

A continuación, busque los campos <INPUT> para el ID de usuario y la contraseña. Los valores para los atributos NAME se utilizan para los valores de los parámetros Nombre de usuario y Contraseña.

Localice los elementos <INPUT TYPE="hidden" ...> de la página fuente. Estos elementos proporcionan pares de nombre-valor al sistema para iniciar sesión y pueden ser importantes para el proceso. El puente de la aplicación web también debe enviarlos. Introduzca los valores ocultos en el parámetro Inicio de sesión. Introduzca estos valores como series de pares nombre-valor separados por comas.

Autentíquese con el servidor una vez. Acceda directamente al sitio y observe la respuesta de la herramienta de depuración. Compruebe las cookies que se devuelven como parte de la solicitud de autenticación que se envía al URL de inicio de sesión. Las cookies que se devuelven como parte de las cabeceras de respuesta "Set-Cookie" son cookies de la sesión. Especifique las cookies de sesión en una lista separada por comas.

Seleccione el ID de ranura de almacén de credenciales existente para especificar dónde recoger las credenciales de autenticación.
Importante: Cree la ranura de almacén de credenciales antes de configurar la autenticación de política. Además, asegúrese de que el usuario, que accedería a la aplicación Acoplamiento web correspondiente a esta política, tenga acceso a esta ranura de credencial. Para obtener más información sobre cómo proporcionar acceso al recurso en el portal, consulte Visualización y asignación de roles explícitos.

Cuando un usuario proporciona las credenciales incorrectas en modo de personalización, el usuario ve el contenido debido a la sesión que está asociada con el portal en la autenticación de formularios. El usuario debe cerrar sesión y borrar todas las memorias cachés. A continuación, deben iniciar sesión de nuevo. Si el usuario vuelve de nuevo a la página de autenticación de formularios, el usuario verá que la página no se puede visualizar. El usuario debe volver a la modalidad de personalización y especificar las credenciales correctas para la aplicación. Cuando se pulsa en enviar, pueden ver todo el contenido en modalidad de vista del portlet Acoplamiento web.

Autenticación SPNEGO

Seleccione esta opción para utilizar SPNEGO (Simple and Protected GSS-API Negotiation) como autenticador web para el servidor de aplicaciones. El soporte de SPNEGO se basa en el caso de ejemplo en que IBM® WebSphere Application Server ya está configurado para la autenticación web del interceptor de la asociación de confianza de SPNEGO (SPNEGO TAI).

Para este caso de ejemplo se necesitan los siguientes requisitos previos:
  • Ha instalado IBM WebSphere Portal en un sistema operativo Windows.
  • Está utilizando Microsoft Active Directory como el registro de usuarios LDAP.
  • SPNEGO TAI ya está habilitado en WebSphere Application Server.
Complete los pasos siguientes para dar soporte a SPNEGO como un mecanismo de autenticación en el puente de aplicaciones web:
  1. Complete los pasos siguientes para configurar la delegación:
    • Abra la ventana de propiedades del usuario del servidor de Active Directory.
    • Vaya al separador Delegación para el ID de usuario del servidor de Active Directory que utiliza la aplicación.
    • Seleccione Confiar en este usuario para la delegación a cualquier servicio (únicamente Kerberos).
      Nota: No establezca esta opción para usuarios de cliente individual. En su lugar, establezca esta opción únicamente para el ID del servidor de aplicaciones.
    • Pulse Aceptar.
    Sistemas Windows Server 2000: La función de delegación se establece en la lista de opciones de cuenta del separador de cuenta. Seleccione el recuadro de selección Cuenta de confianza para delegación.
  2. Especifique su ID de usuario y contraseña en la estación de trabajo del cliente para iniciar sesión en el dominio Windows local o remoto de confianza.
  3. Acceda a WebSphere Portal mediante un navegador en el dominio Windows local o en un dominio Windows remoto de confianza.
  4. Efectúe los pasos siguientes para configurar el navegador Firefox para SPNEGO:
    1. Escriba about:config en la barra de direcciones.
    2. Escriba auth en el campo Filtro.
    3. Establezca los siguientes dos elementos en el dominio SSO:
      • network.negotiate-auth.delegation-uris
      • network.negotiate-auth.trusted-uris
  5. Efectúe los pasos siguientes para configurar el navegador Internet Explorer para SPNEGO:
    1. Vaya a Herramientas > Opciones de Internet.
    2. Seleccione el separador Seguridad.
    3. Seleccione Intranet local.
    4. Pulse Sitios.
    5. Añada el dominio SSO.
    6. Seleccione el separador Avanzado.
    7. Verifique que se haya seleccionado el recuadro de selección Habilitar autenticación integrada de Windows.
    8. Pulse Aceptar.
    9. Reinicie Internet Explorer para que los cambios surtan efecto.

Autenticación SAML

Seleccione esta opción para utilizar SAML (Security Assertion Markup Language) como autenticador web para el servidor de aplicaciones. Si tiene la intención de utilizar SAML, recopile la siguiente información de su administrador de SAML:
  • Nombre del proveedor de identidad: Especifique el nombre del proveedor de identidad. Si no especifica ningún valor, se utiliza saml.
  • URL del proveedor de identidad: El URL de inicio de sesión completo para el proveedor de identidad; por ejemplo, protocolo://host:puerto/uri.
  • Origen de autenticación del proveedor de identidad: Seleccione LTPA o Cookies. Si selecciona Cookies, se mostrará el campo Cookies de autenticación del proveedor de identidad. Especifique el nombre de la cookie en el recuadro de texto y, a continuación, pulse Añadir. Añada las mismas cookies a la sección Cookies HTTP del separador Solicitud. Marque el botón de selección Bloquear todo, excepto y, a continuación, añada las cookies de SAML.
  • Cookies de sesión autenticadas: Escriba el nombre de la cookie de sesión en el cuadro de texto y, a continuación, pulse Añadir. Si no especifica ningún valor, se utiliza SAML20.
  • Parámetros de inicio de sesión del proveedor de identidad: Pulse Añadir nuevo parámetro y, a continuación, añada el nombre del parámetro y del valor que desee utilizar.
Tema principal: Web Application Bridge