TAM 单点登录的思考

回忆以前接触TAM的单点 实施的时候，除了IBM 自家的产品，比如Portal，Domino 这些东西和webseal 可以方便集成，且有一定的安全性外，如果遇到了第三方系统实施起来总是有些问题。

比如用gso方式单点，管理和维护起来不太方便（当然用gso adapter 可能好些，只是我没搞过），曾经在进行账户管理的时候，直接用tdi 直接执行了gso的命令。。用header的方式存在不安全的问题，毕竟当前的内网也不是一块净土。如果是直接在portal上开发自定义的单点方式也没问题，强大而且灵活，不过稍微复杂点。

有没有可以借助于webseal的相对esay和secure的单点方式呢？

考虑到一般系统只传递用户名实在单薄，即使在企业内网也不例外，虽然曾经成功测试过通过一个junction 把用户名和密码传递到特定系统的实验，但是明文的用户名和密码显然也不能满足要求。
但是考虑到可以在某台机器上，最好是webseal的机器上，运行一个web 应用，它的作用就是把前面的junction的信息中的用户名和密码，按照特定的规则加密。把加密后的信息再转发给第三方系统，就可以在TAM的基础实现成本比较低，而且相对安全的单点登录了。
另外一个思路就是利用TAM的api 开发可以进行加密的单点登录方式，可能对tam 开发人员的要求就比较高了。谁有兴趣可以搞搞：）