【IT168 资讯】TAMeb（IBM Tivoli Access Manager for e-business）是IBM实现企业单点登录的解决方案产品之一，通过TAMeb能集中进行应用级别的认证和授权，实现不同类型系统的单点登录。下面就简单介绍一下TAMeb实现用户单点登录的几种方式：1、基于LTPA；2、代填表单；3、数字证书；4、基于HTTP请求头。

　　1. 基于LTPA的单点登录

　　名词说明：

　　LTPA（Lightweight third party authentication）是IBM提供的基于cookie的轻量级的认证方式，如果需要实现SSO的环境为IBM提供的各种中间件，那么使用LTPA将是非常好的的方式。

　　Webseal是TAM（Tivoli Access manager）的关键组件，它相当于一个反向代理器，所有的请求将被它所截获，然后由它进行处理转发。

　　场景描述：

　　当用户发出一个URL请求到WAS（Websphere Application Server）等支持LTPA（Domino、WPS）的应用，系统要求输入“用户/密码”，输入并提交后用户就可以访问这个WAS的应用，接着当用户再访问Domino等其它支持LTPA的应用，此时无需再次输入“用户/密码”信息即可以访问Domino（等其它支持LTPA）下的web应用了。

　　过程说明：

　　首先需要在多个服务器以及TAM的Webseal上配置基于LTPA的信任关系，经过配置后的服务器之间建立了信任，当其中一个服务器认证通过后，再去访问其它已经建立过信任关系的服务器时，因为它们之间彼此是信任的，所以就无需再次认证了。

　　下面以WAS、Domino和Webseal来简单说明一下LTPA信任的配置过程：

　　◆ 在WAS Server上生成LTPA Key，并启用LTPA进行安全认证
　　◆ 在Domino Server导入上面生成的LTPA Key，并配置Domino Server使用LTPA进行认证
　　◆ 在Webseal上基于上面生成的LTPA Key创建到WAS和Domino的Junction

　　通过上述配置就完成了基于LTPA的单点登录，下面以图示来详细说明认证过程的流程：

　　（1） 用户发出一个URL请求到WAS，此请求被Webseal拦截，Webseal定向到它内置的一个form表单，要求输入用户/密码进行认证；

　　（2） Webseal拿着输入的用户/密码到LDAP server进行用户鉴别；

　　（3） Webseal认证成功后生成一个LTPA的Token，并将请求转发到WAS端，WAS收到请求后，发现此请求含有LTPA的Token，因为之前已经配置了它和Webseal以及Domino的信任关系，所以WAS不再要求进行认证，直接将请求的响应返回，用户收到所需的页面信息响应；

　　（4） 用户再次访问Domino的Web应用，此请求被Webseal拦截；

　　（5） 因为Webseal之前缓存了LTPA的Token，它快速检查了请求信息是来自它所信任的WAS，所以不需要再与LDAP Server进行用户信息的鉴别，它把请求直接转给Domino，因为Domino和Webseal是信任的，所以也不需要再次认证，Domino将直接返回Webseal的请求结果。