Единый вход в IBM WebSphere Application Server не устанавливает REMOTE_USER в Cognos BI 10.2.2

Question

Единый вход в IBM WebSphere Application Server не устанавливает REMOTE_USER в Cognos BI 10.2.2

Очень похожая проблема была размещена здесь, я не верю, что они одинаковы.

Единый вход в систему IBM WebSphere Application Server неправильно устанавливает REMOTE_USER

Мы запускаем IBM Cognos Business Intelligence Server 10.2.2 (никаких других дополнительных программных продуктов) на WebSphere Application Server BASE версии 8.5.5.2, оба программного обеспечения на сервере AIX версии 7. Мы пытаемся настроить RSA SSO с помощью базовой HTTP-аутентификации из WebSphere. к Cognos. Для аутентификации мы используем пользовательский провайдер аутентификации как для WebSphere, так и для Cognos.

Мы используем два профиля WAS, один для запуска Cognos Servlet Gateway (для сопоставления с шаблонами /ServletGateway/*), а другой для запуска Content Manager и служб Reporting Services (для сопоставления с шаблонами /p2pd/servlet/dispatch).

После редактирования и развертывания Cognos CJAP jar (пользовательский поставщик проверки подлинности Java) и внесения изменений в.../war/gateway/web.xml и.../war/gateway/application.xml.template, создание новых EAR-приложений и при их развертывании вход в систему работает очень хорошо... Мне нужно ввести имя пользователя и пароль, при вводе правильных учетных данных пользователь войдет в портал cognos. При просмотре заголовка http, как и ожидалось, Remote_User имеет значение null.

Все идет не так, когда мы пытаемся включить SSO. В WebSphere мы включаем глобальную защиту, настраиваем сертификаты между двумя профилями и т. Д., И после этого Remote_User не заполняется.

2

single-sign-on aix websphere cognos

Источник

WR Aldrich 23 апр '15 в 17:30

2 ответа

Другие вопросы по тегам single-sign-on aix websphere cognos

RAKK 30 апр '15 в 18:26 2015-04-30 18:26 · Answer 1 · 2015-04-30 18:26

Я являюсь автором вопроса, на который вы ссылаетесь, мне пока не разрешено комментировать, поэтому я должен опубликовать это в ответе. Считаете ли вы, что решение для перезагрузки сертификата может работать, если мы используем один профиль? Мы используем один единый профиль для всего, так как у нас есть ND-версия WebSphere, мы просто используем два разных сервера приложений для разделения приложений диспетчера и шлюза.

WR Aldrich 23 апр '15 в 18:06 2015-04-23 18:06 · Answer 2 · 2015-04-23 18:06

При просмотре сертификатов SSL в консоли websphere мы заметили, что отпечатки различных сертификатов не совпадают. Когда один и тот же сертификат просматривался на обеих консолях профиля WAS, отпечатки пальцев не совпадали.

Таким образом, кажется, что глобальная безопасность не работает между двумя профилями WAS. После долгих исследований мы натолкнулись на этот IBM Technote. PM86382: использование аутентификации RSA

"Когда аппаратная криптография используется с административной аутентификацией, установленной на RSA (которая используется по умолчанию только в среде Base Appserver), задачи администрирования, такие как развертывание приложений и т. Д., Завершаются неудачей".

Следуя техническому замечанию, мы переключили аутентификацию на LPTA, выпустили новые сертификаты и переделали конфигурацию профиля websphere. После перезапуска SSO теперь работает, и идентификатор пользователя правильно заполняет переменную заголовка HTTP "Remote_User"