Administration du parc d'utilisateurs des portails virtuels

Vous disposez de deux options de base pour la gestion des parcs d'utilisateurs de vos portails virtuels : le gestionnaire de membre virtuel (VMM) ou le protocole LDAP (Lightweight Directory Access Protocol).

Cela varie selon si vous souhaitez disposer de parcs d'utilisateurs différents pour vos portails virtuels ou si vous optez pour une solution simple, en d'autres termes, un parc d'utilisateurs pour tous les portails virtuels :
  • Utilisation du Gestionnaire de membre virtuel (aussi dénommé Référentiel fédéré) intégré dans WebSphere® Application Server. Vous pouvez utiliser le référentiel fédéré pour les deux types de configuration :
    • Configuration de parcs d'utilisateurs distincts pour chacun de vos portails virtuels. Cette option vous offre une flexibilité importante pour administrer les utilisateurs de vos portails virtuels. Grâce à cette configuration, vous pouvez définir un parc d'utilisateurs individuel pour chaque portail virtuel.
    • Utilisation d'un parc d'utilisateurs commun avec le gestionnaire de membre virtuel pour tous vos portails virtuels. Dans ce cas, tous les utilisateurs appartenant à ce parc peuvent accéder à l'ensemble des portails virtuels, sauf si leurs droits d'accès sont explicitement restreints par les paramètres de contrôle d'accès au portail. Pour instaurer cette restriction, vous devez définir manuellement les droits d'accès à l'aide des portlets de contrôle d'accès au portail.
    Un registre des utilisateurs peut être basé sur un protocole LDAP (Lightweight Directory Access Protocol) ou sur une base de données. Pour plus d'informations sur la configuration de vos portails virtuels avec le gestionnaire de membre virtuel et sur les différentes options de configuration, voir les sections suivantes.
  • Utilisation du protocole LDAP (Lightweight Directory Access Protocol). Si un référentiel d'utilisateurs commun unique suffit pour tous les portails virtuels de votre installation, vous pouvez continuer à utiliser un annuaire LDAP dans votre configuration de portail virtuel. Il s'agit de la plus simple des deux options.

    Dans cette configuration, toute l'installation du portail et tous les portails virtuels partagent un parc d'utilisateurs commun, lequel est défini dans un référentiel utilisateur unique. Dans ce cas, tous les utilisateurs appartenant à ce parc peuvent accéder à l'ensemble des portails virtuels, sauf si leurs droits d'accès sont explicitement restreints par les paramètres de contrôle d'accès au portail. Pour établir des restrictions d'accès à certains portails virtuels, vous pouvez utiliser les portlets de contrôle d'accès au portail. Vous définissez des groupes d'utilisateurs et leur attribuez des droits d'accès aux ressources de chaque portail virtuel.

Pour les installations d'HCL Portal, l'option Référentiel fédéré offre plus de souplesse pour la gestion des utilisateurs de portails virtuels. En utilisant le gestionnaire de membre virtuel, vous pouvez limiter l'utilisation d'un portail virtuel donné à un parc d'utilisateurs spécifique. Pour ce faire, on introduit le concept de domaines.

Les sections suivantes présentent comment utiliser le gestionnaire de membre virtuel et les domaines dans un contexte de portails virtuels. Pour une description plus détaillée de la sécurité du portail, reportez-vous aux rubriques traitant de la sécurisation et de la configuration du portail ainsi que des droits d'accès, des utilisateurs et des groupes. Pour plus d'informations sur la configuration du gestionnaire de membre virtuel et des domaines, voir les rubriques consacrées à l'ajout d'une prise en charge des domaines pour votre environnement.

Un portail virtuel n'est accessible que pour les membres du parc d'utilisateurs associé. Le contrôle d'accès au portail vous permet d'affecter et de restreindre les droits d'accès aux ressources de ce portail virtuel au sein du parc de ses utilisateurs. Toutefois, le contrôle d'accès au portail ne peut annuler l'affectation prédéfinie d'un parc d'utilisateurs particulier à son portail virtuel. Vous ne pouvez pas utiliser le Contrôle d'accès au portail pour affecter des droits franchissant les séparations entre portails virtuels. Ainsi, vous ne pouvez pas utiliser le contrôle d'accès au portail d'un portail virtuel VP_A pour attribuer à un utilisateur_A_1 de ce portail un accès aux ressources d'un autre portail virtuel VP_B. Les conditions suivantes s'appliquent :

  • Un domaine contient l'ensemble du parc d'utilisateurs d'un portail virtuel.
  • Chaque portail virtuel peut être associé à son propre domaine d'utilisateurs. Toutefois, il est également possible que plusieurs portails virtuels partagent leur parc d'utilisateurs en utilisant le même domaine en parallèle.
  • Pour pouvoir se connecter à un portail virtuel particulier, un utilisateur doit être membre du domaine associé à ce portail virtuel.

Pour plus d'informations sur la préparation du gestionnaire de membre virtuel et des domaines pour vos portails virtuels, voir la prochaine section.

Préparation des parcs d'utilisateurs pour vos portails virtuels

Si vous comptez utiliser des domaines pour vos portails virtuels, vous devez configurer le gestionnaire de membre virtuel et les domaines avant de créer vos portails virtuels. Chaque domaine doit spécifier les noeuds de référentiel (entrées de base) appartenant au parc d'utilisateurs représenté par ce domaine.

Outre les domaines que vous créez pour définir les parcs d'utilisateurs des portails virtuels individuels, vous devez créer un super domaine. Ce super domaine couvre tous les autres et contient tous leurs utilisateurs ; il est également dénommé domaine par défaut.

HCL Portal est configuré par défaut avec l'option Référentiels fédérés en tant que fournisseur de registre utilisateurs. Par défaut, seul le super domaine, ou domaine par défaut, est configuré. Après avoir configuré votre instance de portail vis à vis de vos référentiels dorsaux d'utilisateurs, vous pouvez utiliser les tâches proposées par le portail afin de configurer les domaines fournis par le gestionnaire de membre virtuel. Pour la tâche décrivant l'ajout d'un domaine et la modification des entrées de base ou des noeuds qu'il contient, consultez les rubriques traitant de l'ajout d'une prise en charge des domaines pour l'environnement de votre portail.
Using a non-default realm : Si vous affectez un domaine autre que celui par défaut au portail virtuel par défaut, assurez-vous que tous les comptes d'administration sont disponibles dans ce domaine. Si vous disposez de Web Content Manager, n'utilisez pas un domaine non défini par défaut, car Web Content Manager n'est pas prévu pour les portails virtuels.

Les sections ci-dessous présentent des exemples de configuration du gestionnaire de membre virtuel pour les portails virtuels. Pour plus d'informations sur la configuration des domaines pour vos portails virtuels, consultez Intégration du gestionnaire de membre virtuel.

Configuration d'un parc d'utilisateurs commun à tous les portails virtuels

Dans le cadre d'une configuration simple, vous pouvez utiliser le gestionnaire de membre virtuel avec un référentiel utilisateurs commun. Ce référentiel utilisateur, qui est représenté par un seul domaine, est utilisé par tous les portails virtuels. Dans ce cas, tous les portails virtuels utilisent un domaine et un référentiel utilisateur communs. Cette configuration ne fournit pas de séparation entre les utilisateurs des différents portails virtuels.

HCL Portal prend toujours en charge le registre d'utilisateurs personnalisé du protocole LDAP de WebSphere® Application Server utilisé par les versions antérieures d'HCL Portal . Vous pouvez le configurer en tant qu'alternative. Là aussi, cette configuration utilise un registre d'utilisateurs personnalisé pour tous les portails virtuels sans séparation entre les utilisateurs des différents portails virtuels.

Configuration de parcs d'utilisateurs distincts pour les portails virtuels

Si vous souhaitez dissocier les utilisateurs de vos portails virtuels, vous devez appliquer la configuration plus avancée en utilisant l'option Référentiels fédérés. Configurez ensuite des domaines distincts pour vos portails virtuels. Lorsque les utilisateurs accèdent à un portail virtuel, l'installation du portail sélectionne le domaine qui convient en fonction du contexte actuel du portail virtuel. Au sein d'un portail virtuel, seuls les utilisateurs correspondant à ce domaine sont "visibles". L'administrateur d'un portail virtuel particulier peut uniquement octroyer des droits d'accès aux utilisateurs et aux groupes appartenant au parc d'utilisateurs de ce portail virtuel. Par conséquent, lorsque vous créez un portail virtuel, le domaine représentant le parc d'utilisateurs du nouveau portail virtuel doit être un sous-ensemble du domaine utilisé par votre installation de portail.

Remarque : Cette séparation des parcs d'utilisateurs entre des portails virtuels distincts ne fonctionne qu'avec des référentiels fédérés. Le portail ne prend en charge des domaines et des référentiels utilisateurs distincts pour les portails virtuels que si vous utilisez l'option de référentiels fédérés.

Lorsque vous utilisez les référentiels fédérés, vous pouvez séparer les groupes d'utilisateurs et les administrateurs en configurant vos portails virtuels en fonction de vos besoins métier. Cette opération s'effectue en fonction des relations suivantes entre les référentiels utilisateurs, domaines et portails virtuels :

  • Vous pouvez rassembler les utilisateurs et les groupes d'un référentiel utilisateurs au sein d'un même domaine et obtenir un parc d'utilisateurs cohérent pour l'installation de portail. Vous pouvez séparer le parc d'utilisateurs de chaque portail virtuel en attribuant des suffixes LDAP différents aux différents domaines. Les suffixes LDAP sont dénommé entrées de base. Ainsi, le concept des domaines vous offre différentes options de configuration flexibles.
  • Un domaine peut regrouper une ou plusieurs entrées de base d'un registre utilisateurs.
  • Un domaine peut combiner plusieurs entrées de base d'un registre utilisateurs. Un suffixe d'un référentiel utilisateur peut appartenir à un ou plusieurs domaines. Les suffixes LDAP des utilisateurs individuels doivent correspondre aux suffixes des groupes auxquels ils appartiennent.
  • Un portail virtuel est associé à un domaine. Chaque portail virtuel utilise exactement un domaine, mais un domaine peut être utilisé par plusieurs portails virtuels.
  • Un portail virtuel peut également n'être associé à aucun domaine. Si aucun domaine n'est affecté à un portail virtuel, le parc d'utilisateurs défini pour le super domaine peut se connecter au portail virtuel.
  • Lorsque vous utilisez des référentiels fédérés, aucun domaine n'est associé par défaut dans l'installation initiale du portail. Le parc d'utilisateurs de l'installation initiale du portail recouvre le registre utilisateurs intégral configuré dans le gestionnaire de membre virtuel.
  • Les identificateurs des utilisateurs individuels doivent être uniques sur l'ensemble des domaines.
  • Pour se connecter à un portail virtuel, l'administrateur de ce dernier ainsi que tous les utilisateurs doivent être membres du domaine affecté à ce portail virtuel. Pour permettre à un utilisateur un accès à plusieurs portails virtuels, cet utilisateur (et le noeud du gestionnaire de membre virtuel auquel il appartient dans la hiérarchie du répertoire utilisateurs) doit être membres de tous les domaines associés à ces portails virtuels. Ces informations s'appliquent par exemple à un super administrateur responsable de l'ensemble des portails virtuels au sein d'une installation de portail entière.
  • Pour pouvoir administrer un portail virtuel, l'administrateur de portail de base doit être membre du domaine associé au portail virtuel. L'administrateur de portail de base doit faire partie de tous les domaines.

    Si l'administrateur ne fait pas partie du domaine de portail virtuel, il ne peut pas accéder à ce portail virtuel. Cela s'applique également au groupe administrateur de portail de base. Si l'administrateur de portail n'est pas membre de tous les domaines, des problèmes peuvent se produire ou certaines tâches peuvent ne pas aboutir. Par exemple, une installation de portail incluant des portails virtuels ne peut pas être migrée si l'administrateur de portail ne peut pas accéder aux portails virtuels pour la migration.

  • Les parcs d'utilisateurs des différents domaines peuvent se chevaucher. Autrement dit, les utilisateurs peuvent être membres de plusieurs domaines. Si des domaines se chevauchent, ces utilisateurs peuvent travailler dans tous les portails virtuels associés à ces domaines.
Important : L'ID unique de l'administrateur de Java Content Repository (JCR) doit être un nom distinctif pour un administrateur central. Vous spécifiez l'ID unique de l'administrateur en tant que valeur pour la propriété jcr.admin.uniqueName. Pour afficher cette propriété, connectez-vous à la console WebSphere® Integrated Solutions Console. Accédez à Ressources > Environnement de ressource > Fournisseurs d'environnement de ressources > JCR ConfigService PortalContent > Propriétés personnalisées > jcr.admin.uniqueName.
Par exemple, vous pouvez paramétrer les configurations suivantes :
  • Vous pouvez configurer un suffixe LDAP pour tous les utilisateurs administratifs, par exemple dc=administrators,dc=ibm,dc=com et un suffixe LDAP distinct pour les utilisateurs, par exemple dc=users,dc=ibm,dc=com.
  • Vous pouvez configurer des suffixes LDAP distincts contenant certains parcs d'utilisateurs différents, par exemple dc=bank1,dc=com pour Banque_1 et dc=bank2,dc=com pour Banque_2.
Notes :
Remarques sur la suppression de ressources dans des portails virtuels :
L'administration du contrôle d'accès au portail dans le portlet Autorisation des ressources affiche des utilisateurs de différents domaines qui possèdent des mappages de rôles sur des ressources partagées par leurs ID objet. Par conséquent, soyez vigilant lorsque vous supprimez ce type de ressources de portail : ne supprimez pas de ressources sur lesquelles les utilisateurs d'autres domaines possèdent des mappages de rôles, s'ils sont requis dans d'autres portails virtuels. Ces informations s'appliquent aux membres des rôles relatifs aux ressources de portail dont la portée ne peut pas être configurée, et qui sont partagées entre les portails virtuels. Les membres de rôle qui appartiennent au domaine de votre portail virtuel local sont affichés normalement, mais les membres de rôle appartenant à des domaines différents sont affichés différemment :
  • Les membres de rôle pour les ressources partagées qui appartiennent au domaine du portail virtuel que vous utilisez actuellement sont répertoriés selon le nom réel.
  • Les membres de rôle pour les ressources partagées qui n'appartiennent pas au domaine du portail en cours sont répertoriés selon leur ID objet de portail. Par exemple, un membre de rôle appartenant à un domaine différent peut être représenté comme suit : 8_0_B.

Recherchez la liste de membres de rôle. Cliquez sur l'icône Menu Administration. Cliquez ensuite sur Accès > Droits d'accès aux ressources. Dans la liste Types de ressource, sélectionnez un type de ressource en cliquant dessus. Sur la page Droits d'accès aux ressources, cliquez sur l'icône Attribuer des droits d'accès. Les membres sont répertoriés dans la colonne Rôles.

Comment accorder aux administrateurs de portails virtuels un accès aux bibliothèques de contenu Web
Les administrateurs de portails virtuels ne disposent pas d'un accès automatique leur permettant d'opérer sur les bibliothèques de contenu Web lors de l'utilisation du portlet d'administration. Pour permettre à un administrateur de portail virtuel d'utiliser les bibliothèques de contenus Web, vous devez lui autoriser l'accès au noeud de la racine de contenu JCR ou à des bibliothèques de contenus Web individuelles :
  • Vous pouvez octroyer aux administrateurs de portail virtuel un accès au nœud racine de contenu JCR à l'aide de l'option Set access on root de la vue Bibliothèque de contenu Web du portlet d'administration. Pour plus d'informations, accédez à l'aide en ligne du portlet.
    • Affectez aux administrateurs de portail virtuel un accès en administration sur le noeud racine de contenu JCR pour leur permettre de créer de nouvelles bibliothèques et de visualiser, de modifier et de supprimer toutes les bibliothèques existantes.
    • Affectez aux administrateurs de portail virtuel un accès en tant que collaborateur sur la noeud racine de contenu JCR pour leur permettre de créer de nouvelles bibliothèques et de visualiser, de modifier et de supprimer celles qu'ils ont créées.
  • Vous pouvez également affecter aux administrateurs de portail virtuel des droits d'accès aux bibliothèques qu'ils n'ont pas eux-mêmes créées en modifiant les paramètres d'accès des bibliothèques concernées.