Multiples SSO am Domino

[Driri]

Hallo,

wir nutzen an einem Domino-Web-Server SSO in Verbindung mit einem WebSphere Portal Server über einen LTPAToken.
Das funktioniert wunderbar, nur soll jetzt für ein zweites Portal mit anderer Domäne ebenfalls SSO eingerichtet werden und das überschreitet meine Kenntnisse.

Ausgangssituation:

Domino HTTP

Host : domino.domain.de
Domino 8.5.1
Webkonfiguration über Serverdokument
Web-SSO-Dokument mit importiertem LTPAToken des WebSphere

Portal A

Host : portal.domain.de
WebSphere Portal Server 6.x


Nach ein wenig Recherche habe ich als Information gefunden, daß man mehrere Token nur einbinden kann, wenn man die Webkonfiguration über Internet Site-Dokumente macht. Das Problem ist allerdings, daß das zweite Portal von einer anderen Domäne kommt, die es am Domino so auch momentan nicht gibt. Ich skizziere das mal in einer Zielsituation, wie ich mir das überlegt habe :

Domino HTTP

Host : domino.domainA.de + domino.domainB.de
Domino 8.5.1

Internet-Site Dokument für domino.domainA.de (passend zu Portal A)
Web-SSO-Dokument mit importiertem LTPAToken des Portal A

Internet-Site Dokument für domino.domainB.de (passend zu Portal B)
Web-SSO-Dokument mit importiertem LTPAToken des Portal B

Portal A
Host : portal.domainA.de
WebSphere Portal Server 6.x

Portal B
Host : portal.domainB.de
WebSphere Portal Server 6.x


Ist das gewünschte Ziel überhaupt realisierbar ? Wenn ja, ist mein skizziertes Zielszenario so korrekt oder müßte man das komplett anders aufbauen ?

[m3]

Also gesehen haben ich das so nicht, aber es "könnte" funktionieren. Wenn Du das ausprobierst würde mich das sehr interessieren.

Eine Hack wäre auch, über einen ReverseProxy, Web Seal Junctions, ... das Cookie am Weg zum Domino und vice versa so umzuschreiben, dass der Domainname stimmt.

[Driri]

Danke Martin. Ich denke nur, daß die von Dir genannten Hacks zu hoch für mich sind. Bin ja eigentlich Entwickler und beschäftige mich mit solchen Themen gar nicht bis selten (zum Glück für mich und vor allem das Unternehmen, für das ich arbeite  )

Ich denke, dann werde ich mal eine Testmaschine aufsetzen und das mal mit den zwei Site-Dokumenten testen.

Wenn noch jemand eine Idee hat, wie man das in Domino mit Bordmitteln umsetzen kann, bin ich da natürlich dankbar für.

[m3]

Du musst halt drauf achten, dass der Portal-Server immer mit dem "passenden" Domino-Server spricht, dann könnte das funktionieren.

[Driri]

Ist klar. Das sollte man ja in den Portlets entsprechend berücksichtigen können.

[Driri]

Info nach einem ersten Test :

Das Szenario funktioniert, negative Auswirkungen/Fehler/Probleme konnte ich bisher noch nicht feststellen.

Ich habe jetzt je Domäne ein Internet Site-Dokument und ein zugehöriges Web SSO Configuration-Dokument angelegt. In den SSO-Dokumenten ist dann der jeweilige LTPAToken importiert worden.

Das SSO aus den jeweiligen WebSphere Portalen der Domänen funktioniert damit wunderbar. Eine "Quer-SSO-Anmeldung" ist auch nicht möglich.


Ich muß jetzt noch auf dem Testsystem ein paar andere Szenarien testen, da wir auf dem Produktivsystem auch Anwendungen laufen haben, die eben nicht im Rahmen eines Portals genutzt werden.

[Driri]

Update :

Nachdem auch weitere Tests keine Probleme ergeben haben, fahren wir das jetzt so auf unserem Produktionssystem. Da die beiden Portals noch im eingeschränkten Betrieb laufen, wird die endgültige Produktion evtl. noch einmal spannend, bisher läuft aber alles.