У меня есть настройка с Tivoli Access Manager (TAM) в качестве обратного прокси для некоторых серверов приложений на стороне сервера. TAM отвечает за аутентификацию пользователей. Можно ли получить доступ к учетным данным, которые пользователь прошел во время аутентификации TAM в бэкэнд-приложениях?Доступ к учетным данным на сервере TAM Backend
мне это нужно, потому что приложения Серверные подключения к хост-системе и там учетные данные необходимы войти в
Есть несколько вариантов, вы, возможно, для этого:.
Поскольку вы упоминаете TAM, я полагаю, что вы все еще используете 6.X, поэтому вы можете использовать специальную библиотеку CDAS (Cross-domain Authentication Service). Вам нужно будет реализовать библиотеку самостоятельно на C и обработать часть проверки подлинности и вернуть текстовый пароль в качестве расширенного права в учетных данных. Это позволит вам добавить это расширенное право в качестве введенного HTTP-заголовка для соединений, требующих пароля. Вы можете получить дополнительную информацию здесь: http://www-01.ibm.com/support/knowledgecenter/SSPREK_6.1.0/com.ibm.itame.doc_6.1/am61_web_devref58.htm%23chap-wsd-write-custom
Вы можете реализовать свой собственный интерфейс внешней аутентификации. EAI - это внешние веб-приложения, в которых WebSEAL может делегировать часть аутентификации. В этом EAI, как и в CDAS, вам придется самостоятельно обрабатывать часть аутентификации - возможно, в отношении реестра пользователей TAM, - и затем вернуть чистый текстовый пароль в качестве расширенного атрибута в учетных данных, которые будут использоваться в качестве настраиваемого HTTP-заголовка для соединения, которое требует этого. См. http://www-01.ibm.com/support/knowledgecenter/SSPREK_6.1.0/com.ibm.itame.doc_6.1/am61_web_devref128.htm%23appx-wsd-eai
Кредитное плечо Tivoli Federated Identity Manager и настраиваемая цепочка STS для аутентификации и возврата пароля текстового пароля в качестве части учетных данных.
Для всех 3 указанных выше вариантов, вы должны изменить существующее приложение бэкэнда, чтобы прочитать впрыскивается заголовок HTTP и использовать пароль открытым текстом для выполнения действий с хостом. Я сделал все 3 для различных интеграций, и я думаю, что ваш лучший выбор заключается в написании EAI, поскольку CDAS устарел с использованием ISAM 7, а третий вариант требует дополнительного программного компонента.