このシナリオがあります-
信頼できるパートナーとしてデータパワーを使用し、レジストリでユーザーを検索しないようにすることは可能ですか?私たちが探しているのは、ADを再度呼び出すことを避け、それでもwlリソースを保護することです...
WAS は LTPA トークンを検証する必要があるため、ユーザー レジストリ (この場合は Active Directory サーバー) が必要です。1 つの解決策は、トラスト認証を使用して、WAS が DataPower からの要求を信頼するようにすることですが、これは、TAI (トラスト アソシエーション インターセプター) を実装する必要があることを意味します (簡単な作業ではありません)。
WAS は、着信ユーザーの承認を行う必要があります。しようとしているのは、LTPA トークンを検証し [これは AD なしで発生します]、ユーザーの承認を試みることです。この承認の決定は、[ローカル ファイルまたは LDAP を介して] どこかから行う必要があります。もう 1 つのことは、そのような承認が LDAP からのものではない可能性があることです [ほとんどの場合、AD は、特定のリソース権限を持つ特定のグループのメンバーとしてユーザーを返すように構成されていません]。この場合、WAS は認証情報についてユーザーにクエリを実行しますが、クエリはユーザーが特定のレジストリに存在するかどうかを二重にチェックするだけです [LTPA トークンが有効である場合、ユーザーを再度チェックする意味がないことは正しいです。LTPA のためです。それ自体は、[おそらく]同じレジストリでユーザーを照会/認証したデータから生成されます]?
残念ながら、それを回避する方法はないようです。