TAM、WebSphere Portal采用Ltpa集成技术点

1.关于TDS与TAM、portal产品之间的关系，门户项目实施都会采用门户目录与TAM目录共用同一个，当安装TAM时需要指定一个目录用来存储用户信息（密码等），通常情况下我们会将其目录与门户目录共用；实施项目这么多年，我前前后后问过团队不少成员，怎么理解这几个产吕之间的关系，是不是可以各自采用自己的TDS目录，大家都给不出很好的答案或解释，习惯了一直以来的默认规则去实施项目，并没有去想过相互之间的关系，为什么要这么做，是不是还有其它的解决方案等等。

这里我想要说的是，从产品技术上来看，其实完全可以将门户目录与TAM目录分开，只要将门户看作是TAM需要集成的一个系统（如domino OA系统一样）即可，只需要将TAM目录的条目与门户目录的用户信息条目保持一致（如：uid=test,cn=users,dc=ibm,dc=com），认证是由TAM的目录中的用户条目密码认证，然后通过ltpatoken方式与门户单点集成，登录密码是TAM目录中的密码，与门户目录中存储的用户密码没有任何关系

2.另外OA单点登录集成，可以采取ltpatoken 在同一个域下的方式，不采用junction，即在当前页面通过自定义应用程序写入token实现单点（junction的方式实际上是由TAM写入token）,可以先用帐号登录OA系统，通过document.write(document.cookie);找到OA中的名称LtpaToken的字符串，再用LtpaToken t=new LtpaToken("LtpaToken的字符串");
String token1=t.getUsername();即可找到用户的登录格式，即可根据这个用户名格式拼成用户名再生成ltpatoken（前提是要从OA服务器中SSO配置中找到domino.secret值，配置到自定义开发的ssoToken应用中，实现单点时还需要将门户的ltpa.key文件导入到OA中，重启服务器生效）

3.另外建议IBM的Portal、BPM等产品与TAM单点集成建议全采用虚拟主机单点集成，需要有junction优先访问的需求时，将webseal的配置为：match-vhj-first = no ，使用ltpatoken认证创建虚拟主机时不要加上参数 -b supply，否则像采用TAM实现的匿名首页的皮肤无法显示。