久しぶりにCognos BIにLTPAでSSO認証する実装を質問されましたので、少しまとめました。
基本は、この文章が情報になると思います。
【Enabling Single-Sign-On between IBM Cognos 8 BI and IBM WebSphere Portal】
http://public.dhe.ibm.com/software/dw/dm/cognos/security/general/enabling_sso_between_cognos8_and_websphere_portal.pdf
実は実際には自分自身でLTPAとCognos BIのSSOを実装した事が無いので、経験のある方がいらっしゃれば情報頂けると大変助かるのですが、上記の文書より、以下の実装になるようです。
・当然ながらCognos BIはTomcatではなく、WebSphere上に実装する必要がある。※"Secured"アプリケーションとして実装。
・Gatewayはcgi,isapi,mod2などではなく、Servlet Gatewayで実装する必要がある。
・SSOに関わるServlet GatewayのWebSphere、DispatcherのWebSphere、他のSSO対象のアプリのWebSphereは全て同一ドメインである必要がある。
・CognosからもLDAP等の認証ソースに接続する必要がある。認証済みのLTPAトークンを受け取れば認証完了ではなく、LTPAトークンをServlet Gatewayが受け取ると、HTTP HeaderのREMOTE_USERやUSER_PRINCIPAL変数に入れてくれるようなので、これらの変数を外部IDマッピングで受け取る実装をCognos上で行う。
また、Cognos 10に関しては、以下の情報がありました。
この手順も実装しないと、SSOにならないようです。
【WAS Servlet Gateway SSO not working with IBM Cognos BI server 10.】
http://www-01.ibm.com/support/docview.wss?uid=swg21653269