1.5.2. Kerberos 和 JBoss EAP

JBoss EAP 可以集成现有的基于 Kerberos 桌面的 SSO 环境，允许这些相同的票据访问托管在 JBoss EAP 实例上的 Web 应用。在典型的设置中，JBoss EAP 实例将配置为使用传统 安全 子系统或 elytron 子系统通过 SPNEGO 的 Kerberos 身份验证。配置为使用 SPNEGO 身份验证的应用已部署到 JBoss EAP 实例。用户登录桌面（由 Kerberos 管理），并与 KDC 完成身份验证交换。然后，用户尝试直接使用 Web 浏览器访问部署的应用中的安全资源。JBoss EAP 响应需要授权才能访问受保护的资源。Web 浏览器获取用户的 TGT 票据，然后执行授予或授权与 KDC 交换的票据，以验证用户并获取服务票据。将 ST 返回到浏览器后，它会以 SPNEGO 格式的请求括起 ST，再将它发回到 JBoss EAP 上运行的 Web 应用。JBoss EAP 随后解压缩 SPNEGO 请求，并使用传统 安全 子系统或 elytron 子系统执行身份验证。如果身份验证成功，则会授予用户对受保护资源的访问权限。