webseal 单点登录的一个问题

在刚接触ibm的webseal 时,不理解为什么一定要把集成的系统改成http://webseal/junctionpoit这样的访问形式。因为某个系统的开发人员可以认为只要经过认证,那么后端的具体操作就应该由具体系统自己处理了,同时把很多系统集成到webseal上无疑会给他带来压力。

一次在公交车上煎熬时(在首都的特定时间乘公交的确是考验),我回忆起逆向代理的概念,有了一些答案。

1 webseal 之所以是逆向代理,就是说通过它,可以允许外部的用户访问一个企业或组织的内部系统,那么这个内部系统一般不提供公网访问的域名或ip,所以集成以后不能交给它自己处理!只能通过http://webseal/junc-point的方式访问内部资源,当然如果使用人员从来都是从内网访问这个系统的话,或者这个系统有自己独立的外网域名,也可以直接跳转到对方进行处理。

2 如果集成进来,由于各系统内部编码的不同,必须在采取各种方法对集成的页面进行处理,测试,包括使用jmt 文件等等,或者采用虚拟主机的方式。如果不集成进来,主要考虑系统是否有外部访问的要求,以及注销和session的问题。一般系统的session 大于等于webseal的时间,同时要在webseal 注销的时候,调用各业务系统的注销功能,实现各业务系统的注销(此处一般认为清除cookies 即可完成注销,但实际上某些并没有集成在junc-point下的应用还必须调用自己的注销,有待进一步研究)。

你可能感兴趣的:(IBM,TAM)