Service de contrôle d'accès externe

Ce service du portail est responsable de la collecte des données d'autorisation émanant des gestionnaires de sécurité externes, tels que Computer Associates eTrust SiteMinder ou IBM® Security Access Manager.

Dans WebSphere® Integrated Solutions Console, le service de contrôle d'accès externe du portail est répertorié en tant que WP ExternalAccessControlService.

Le Service de contrôle d'accès externe du portail vous permet de modifier les propriétés de configuration énumérées ci-dessous. Toutefois, vous devez soigneusement planifier toute modification de ces propriétés et procéder avec prudence.

Propriétés générales du Service de contrôle d'accès externe

Ces propriétés sont utilisées de manière générale par le service de contrôle d'accès externe.

externalaccesscontrol.ready = (false)
Cette propriété indique si la configuration du fichier a été effectuée pour une connexion au gestionnaire de sécurité externe. La valeur par défaut est false.
externalaccesscontrol.server = WebSphere_Portal
externalaccesscontrol.application = WPS
externalaccesscontrol.cell = cell
Des représentations de nom de rôle sont qualifiées avec un contexte généré par ces trois propriétés. Par exemple, Administrator@External_Access_Control/xxx/xxx est représenté comme suit :
Security Access Manager: Protected object space entry
/WPSv6/Administrator@External_Access_Control/xxx/xxx/WPS/WebSphere_Portal/cell
eTrust SiteMinder:
resource/subrealms under Domain: WebSphere Portal v8
/cell/WebSphere_Portal/WPS/Administrator@External_Access_Control/xxx/xxx

Configuration du gestionnaire d'accès

Utilisez les propriétés suivantes pour configurer la connexion entre HCL et Tivoli Access Manager.

externalaccesscontrol.pdroot = (/WPSv6)
Une fois les tâches de configuration AMJRTE et SrvSslCfg terminées, les directives suivantes sont requises pour permettre à HCL d'utiliser Tivoli Access Manager comme gestionnaire de sécurité externe. Indiquez la racine de votre espace d'objet protégé pour les entrées du serveur de portail.
externalaccesscontrol.pduser = sec_master
externalaccesscontrol.pdpw = passw0rd
Ces propriétés permettent de fournir un ID utilisateur administratif et son mot de passe avec des droits appropriés dans Tivoli pour créer, supprimer et modifier les objets contenus dans l'espace d'objet protégé. Vous pouvez utiliser l'utilitaire PropFilePasswordEncoder de WebSphere® Application Server pour masquer le mot de passe. L'utilisation de PropFilePasswordEncoder supprime tous les commentaires et les propriétés en commentaires. Par conséquent, créez une copie de sauvegarde de ce fichier pour référence future. Exemple pour AIX® IBM® i Linux Solaris Windows : 
AppServer_root/bin/PropFilePasswordEncoder 
wp_profile_root/PortalServer/config/properties/ExternalAccessControlService.properties 
        externalaccesscontrol.pdpw

Exemple pour z/OS® :

AppServer_root/bin/PropFilePasswordEncoder 
wp_profile_root/PortalServer/config/properties/ExternalAccessControlService.properties 
        externalaccesscontrol.pdpw
Remarque : Cette commande doit être saisie sur une seule ligne dans une invite de commandes.
externalaccesscontrol.pdurl=file:///${WAS_INSTALL_ROOT}/java/jre/PdPerm.properties
Cette propriété permet de spécifier l'emplacement de l'URL du fichier de propriétés du gestionnaire d'accès pour AMJRTE. Cette URL doit être au format suivant : file:///directory_path_to_properties_file. Les URL HTTP ne sont pas prises en charge.
externalaccesscontrol.createAcl = (true)
Cette propriété est facultative. Cette propriété permet d'indiquer si des listes de contrôle d'accès sont créées dans le gestionnaire d'accès pour les rôles stockés en externe. La valeur par défaut est true. Si la valeur de cette propriété est false, l'administrateur du gestionnaire d'accès est responsable de tous les liens de listes de contrôle d'accès entre Security Access Manager et HCL. Les valeurs possibles pour cette propriété sont :
true
Une liste de contrôle d'accès Security Access Manager est créée pour chaque ressource HCL. Il s'agit de la valeur par défaut.
false
Aucune liste de contrôle d'accès n'est créée pour les objets de portail.
externalaccesscontrol.pdactiongroup = ([WPS])
externalaccesscontrol.pdAction = (m)
Ces propriétés sont facultatives. Elles permettent de spécifier le groupe d'actions et les actions personnalisées à mapper vers une appartenance aux rôles du portail. Si ces éléments n'existent pas, ils sont créés au démarrage. Les valeurs indiquées précédemment sont les valeurs par défaut.

Informations sur le serveur de stratégie Computer Associates eTrust SiteMinder

Utilisez les propriétés suivantes pour configurer la connexion entre HCL et votre serveur de stratégie.
externalaccesscontrol.domainname = WebSphere Portal V 8
Cette propriété permet de spécifier le nom du domaine qui doit être créé dans l'interface graphique administrative de eTrust SiteMinder. Tous les domaines et sous-domaines sont créés sous ce domaine particulier. Il est créé au démarrage d'HCL.
externalaccesscontrol.scheme = (Basic)
Cette propriété permet de spécifier le schéma qui doit être associé aux domaines. Vous devez définir ce schéma dans eTrust SiteMinder avant de démarrer HCL. La valeur par défaut est Basic.
externalaccesscontrol.agentname = wpsagent
externalaccesscontrol.agentsecret = passw0rd
Ces propriétés permettent de spécifier le nom de l'agent et le code secret destinés à établir une connexion d'exécution avec eTrust SiteMinder. L'agent doit être un agent Web possédant un code secret partagé statique, de sorte que les agents Web ultérieurs à la version 4.6 de WebAgents puissent activer la propriété supports 4.x agents sur l'agent Web eTrust SiteMinder. You can use the WebSphere® Application Server PropFilePasswordEncoder utility to mask the password.
Remarque : L'utilisation de PropFilePasswordEncoder supprime tous les commentaires et toutes les propriétés en commentaires. Par conséquent, veillez à créer une copie de sauvegarde de ce fichier pour référence future avant de vous servir de l'utilitaire PropFilePasswordEncoder.

Ci-après, un exemple de code permettant de masquer le mot de passe :

AppServer_root/bin/PropFilePasswordEncoder wp_profile_root/PortalServer/config/properties/ExternalAccessControlService.properties externalaccesscontrol.agentsecret

Remarque : Tapez cette commande sur une seule ligne dans une fenêtre de ligne de commande.
externalaccesscontrol.admin = siteminder
externalaccesscontrol.password = passw0rd
Utilisez ces propriétés pour spécifier l'ID et le mot de passe administratifs d'un utilisateur pouvant créer, supprimer et modifier des objets eTrust SiteMinder utilisés pour représenter des rôles HCL. Cet ID utilisateur doit posséder des droits d'accès suffisants aux objets de domaine dans eTrust SiteMinder. You can use the WebSphere® Application Server PropFilePasswordEncoder utility to mask the password.
Remarque : L'utilisation de PropFilePasswordEncoder supprime tous les commentaires et toutes les propriétés en commentaires. Par conséquent, veillez à créer une copie de sauvegarde de ce fichier pour référence future avant de vous servir de l'utilitaire PropFilePasswordEncoder.

Ci-après, un exemple de code permettant de masquer le mot de passe :

AppServer_root/bin/PropFilePasswordEncoder wp_profile_root/PortalServer/properties/ExternalAccessControlService.properties externalaccesscontrol.password

AppServer_root/bin/PropFilePasswordEncoder wp_profile_root/PortalServer/config/ExternalAccessControlService.properties externalaccesscontrol.password

externalaccesscontrol.userdir = (User Directory 1)
Cette propriété permet de spécifier l'annuaire d'utilisateurs qui est associé au domaine. Vous pouvez configurer le basculement des annuaires d'utilisateur dans l'interface graphique administrative de eTrust SiteMinder. L'annuaire d'utilisateur doit exister avant de démarrer HCL.
externalaccesscontrol.failOver = (false)
Cette propriété permet d'indiquer si le sous-système du gestionnaire de sécurité externe doit basculer vers un autre serveur de stratégie s'il ne parvient pas à entrer en contact avec le serveur en cours. Les valeurs possibles sont true et false. Vous pouvez spécifier cette propriété comme externalaccesscontrol.failOver ou externalaccesscontrol.failover.
Remarque : Il est important que cette valeur et le nombre d'adresses IP du serveur de stratégie spécifiés par la propriété servers soient coordonnées avec précision. Si vous indiquez plusieurs adresses de serveur de stratégie dans la propriété servers et que cette propriété a pour valeur false, l'API de l'agent Computer Associate appliquera l'équilibrage de charge par permutation circulaire, en répartissant les requêtes sur les serveurs de stratégie configurés. Cela peut s'avérer approprié pour un intercepteur de relations de confiance qui n'effectue que des opérations read à partir du ou des serveur(s) de stratégie, mais pas pour les opérations write. Si plusieurs serveurs sont définis dans la propriété externalaccesscontrol.servers, affectez la valeur true à failOver.
externalaccesscontrol.servers = server1,server2, . . .
Utilisez cette propriété pour spécifier les adresses IP de tous les serveurs de règles. Les adresses doivent être séparées par des virgules. Exemple : servers=10.0.0.1,10.0.0.2 .
Remarque : Si vous avez défini plusieurs serveurs dans la propriété externalaccesscontrol.servers, affectez la valeur true à la propriété failOver.
Vous pouvez définir les propriétés suivantes pour chaque serveur. Afin de différencier les propriétés de chaque serveur, spécifiez les clés au format Server IP address.key=value. Les valeurs par défaut sont présumées pour toutes les clés que vous omettez. Les clés disponibles sont les suivantes :
accountingPort = (44441)
Port de comptabilisation du serveur de stratégie. La valeur par défaut est 44441.
authenticationPort = (44442)
Port d'authentification du serveur de stratégie. La valeur par défaut est 44442.
authorizationPort = (44443)
Port d'autorisation du serveur de stratégie. La valeur par défaut est 44442.
connectionMax = (10)
Nombre maximal de connexions que le service d'autorisation peut établir avec ce serveur de stratégie. La valeur par défaut est 10.
connectionMin = (1)
Nombre initial de connexions que le service d'autorisation établit avec ce serveur de stratégie. La valeur par défaut est 1.
connectionStep = (1)
Nombre de connexions pouvant être accordées si le service d'autorisation manque de connexions au serveur de stratégie. La valeur par défaut est 1.
timeout = (20)
Délai de connexion en secondes. La valeur par défaut est 20.
L'exemple suivant s'applique au serveur 10.0.0.1 :
    10.0.0.1.accountingPort=44441
    10.0.0.1.authenticationPort=44442
    10.0.0.1.authorizationPort=44443
    10.0.0.1.connectionMax=30
    10.0.0.1.connectionMin=10
    10.0.0.1.connectionStep=5
    10.0.0.1.timeout=60