cas与portal.docxVIP

与IBM Portal集成与IBM Portal集成采用WebSphere TAI机制，PORTAL 检测用户是否已登录PORTAL（LTPA）。若是，则进入页面。若否，转TAI。TAI通过配置的属性检查CAS TICKET的有效性。由于WAS 配置TAI后，就可以由信任的TAI进行用户身份验证，而WAS的安全机制不作其它的验证工作。CAS TAI验证用户成功后，即返回用户的相关信息（如下图）由WAS的安全模块根据这些信息创建WAS 的SESSION（LTPA）Was认证机制引入CAS Clinet Jar包引入cas2.1 Jar包，将其拷贝到WPSInstallDirectory/AppServer/lib/ext目录下casclient.jarCasClientWebsphere-1.0.2.jar配置WebSphere TAI拦截器设置在Was7下，进入：安全性-全局安全性-Web 和 SIP 安全性-信任关联-拦截器，点新建按钮增加一个新的拦截器新建拦截器输入拦截器名称以及相关信息后进行保存，可以点右边的“新建”按钮增加属性。com.octo.cas.client.websphere.CasTAI511拦截器配置可以通过下方拦截器配置表来填写：名称值说明CAS_VALIDATION_URLhttps://cas服务器地址/cas/serviceValidateTICKET验证地址，当STORE_PROXY_TICKET为false时可不填，为true时，必填，并且必须是https协议，如果不想使用https协议必须改造客户端校验类，默认值为空PRINCIPAL_PREFIXuid=前缀，可获取到传过来的参数信息PRINCIPAL_SUFFIX, cn=users,dc=poc,dc=net后缀,特别注意，dc=poc,dc=net是ldap的Base DN，cn=users是用户组所在位置。CAS_CALLBACK_PROXY_URLPortal服务器地址，例如：这个地址是票据发送地址CAS_CALLBACK_PROXY_SERVLET/CasProxyServletCAS调用Servlet发送票据STORE_PROXY_TICKETtrueTrueCAS_REALM_NAMECAS_PORTALCAS域默认为：CAS_REALM,别名保证不重复DEBUGfalse是否开启debug，开启后会输出详细日志，建议正常运行时关闭。TAI拦截器配置表配置完毕后，进入：安全性-全局安全性-Web 和 SIP 安全性-信任关联勾选“启用信任关联”，确定后保存在wps的web.xml中加入以下配置：文件路径：D:\IBM\WebSphere\wp_profile\installedApps\rishibhargava\wps.ear\wps.war\WEB-INF和D:\IBM\WebSphere\wp_profile\config\cells\rishibhargava\applications\wps.ear\deployments\wps\wps.war\WEB-INF该路劲是相对的，请在实际环境中查找。要修改两处的web.xml，不要有遗漏（config是缓存文件，必须要改，不改不生效）。注意：xyUrl对应的value值，必须是https的访问地址，注意https下的端口。最好在ie中测试能够访问，再在web.xml中修改，其中[ ]可以去掉。context-paramparam-namexyUrl/param-nameparam-value[https://myWebsphereServer/cas/proxy]/param-value/context-param!--Cas proxy ticket receptor Servlet--servletservlet-nameCasProxyServlet/servlet-nameservlet-classxy.ProxyTicketReceptor/servlet-classload-on-startup0/load-on-startup/servlet!--Cas proxy ticket receptor mapping--servlet-mappingservlet-nameCasProxyServlet/servlet-nameurl-pattern/CasProxyServlet/url-pattern/servlet-mappingWas 单点登录设置然后，进入：安全性-全局安全性-Web 和 SIP 安全性-单点登录（SSO），勾选“已启用”、“需要SSL”、“互操作性方式”、“web入站安全性属性传播”，并且输入当前域名后缀。开启WAS单点登陆如果不