Service de gestion de données de contrôle d'accès

Le Service de gestion de données de contrôle d'accès contient les propriétés de configuration du contrôle d'accès au portail. Les noms de domaine abrégés doivent correspondre aux noms de domaine définis pour le Service de stockage de données du portail.

Dans WebSphere® Integrated Solutions Console, le service de gestion de données de contrôle d'accès du portail est répertorié en tant que WP AccessControlDataManagementService.

L'ensemble de propriétés suivant est obligatoire pour chaque domaine de base de données contenant des ressources qui doivent être protégées par le contrôle d'accès au portail :
accessControlDataManagement.domain.domain_short_name.adminuser = full distinguished name of the administrative user for this domain
Cette propriété permet de définir l'utilisateur administrateur. Comme la valeur spécifie un nom distinctif complet qui correspond à une entrée valide dans le référentiel utilisateur associé. Cette propriété est obligatoire.
accessControlDataManagement.domain.domain_short_name.admingroup = full distinguished name of the administrative group for this domain
Cette propriété permet de définir le groupe administrateur. Comme la valeur spécifie un nom distinctif complet qui correspond à une entrée valide dans le référentiel utilisateur associé. Cette propriété est obligatoire.
accessControlDataManagement.domain.domain_short_name.virtualresource = name of the virtual root resource of this domain
Cette propriété spécifie la ressource racine virtuelle. La valeur correspond au nom d'une ressource virtuelle qui existe réellement dans le domaine et représente la racine de la hiérarchie de ressources protégées dans ce domaine. Cette propriété est destinée à un usage interne uniquement. Ne modifiez pas cette valeur.
L'utilisateur et le groupe administrateur reçoivent des rôles d'administrateur sur la hiérarchie complète des ressources protégées, en partant de la ressource racine virtuelle du domaine définie avec le troisième paramètre. Ces rôles sont octroyés en plus des rôles de portail d'utilisateur ou de groupe et de ce fait, n'apparaissent pas dans les portlets de contrôle d'accès. Un ensemble de valeurs valides pour ces propriétés peut par exemple ressembler à ce qui suit :
accessControlDataManagement.domain.rel.adminuser=uid=Bob,o=Your Company
accessControlDataManagement.domain.rel.admingroup=cn=Admins,o=Your Company
accessControlDataManagement.domain.rel.virtualresource=PORTAL
accessControlDataManagement.domain.cust.adminuser=uid=Bob,o=Your Company
accessControlDataManagement.domain.cust.admingroup=cn=Admins,o=Your Company
accessControlDataManagement.domain.cust.virtualresource=PORTAL
accessControlDataManagement.domain.comm.adminuser=uid=Bob,o=Your Company
accessControlDataManagement.domain.comm.admingroup=cn=Admins,o=Your Company
accessControlDataManagement.domain.comm.virtualresource=PORTAL
accessControlDataManagement.domain.jcr.adminuser=uid=Bob,o=Your Company
accessControlDataManagement.domain.jcr.admingroup=cn=Admins,o=Your Company
accessControlDataManagement.domain.jcr.virtualresource=PORTAL
Les propriétés supplémentaires suivantes du service de gestion des données de contrôle d'accès sont facultatives :
accessControlDataManagement.enableNestedGroups = (true)
Utilisez ce paramètre pour déterminer si l'appartenance aux groupes est exploitée par l'élément de contrôle d'accès au portail. Les valeurs prises en charge sont : true et false. La valeur par défaut est true.
accessControlDataManagement.enableTargetResourceGroupInheritance = (false)
Utilisez ce paramètre pour déterminer si l'appartenance aux groupes est exploitée par l'élément de contrôle d'accès au portail pour la mise en application des autorisations des utilisateurs et des groupes. Si vous spécifiez false, vous ne pouvez obtenir d'autorisations sur des groupes d'utilisateurs qu'à l'aide de rôles sur les groupes, et sur les utilisateurs qu'à l'aide de rôles sur les groupes directs dont ils sont membres. Les valeurs prises en charge sont : true and false. La valeur par défaut est false.
accessControlDataManagement.reorderRoleNames = (false)
Utilisez ce paramètre pour déterminer si le nom de rôle contient le nom unique du titre de la ressource sur laquelle le rôle a été créé. Spécifiez true lorsque vous utilisez un fournisseur d'autorisations externe, tel que IBM® Security Access Manager, car il est ainsi plus facile de trouver les noms de rôles. Les valeurs prises en charge sont : true and false. La valeur par défaut est false.
accessControlDataManagement.externalizeAllRoles = (false)
Cette propriété ne s'applique qu'à l'externalisation des ressources via l'interface utilisateur. La valeur par défaut est false. Si la propriété a pour valeur false et qu'une ressource est externalisée :
  1. La ressource et tous ses descendants qui ne sont pas privés et n'étaient pas externalisés jusque là, sont externalisés.
  2. Les rôles et les mappages de rôle qui existent sur toutes les ressources identifiées à l'étape 1 précédente sont écrits dans l'espace objet du gestionnaire de sécurité externe.
  3. Pour la ressource racine choisie pour être externalisée, un mappage de rôle pour le rôle Administrateur est créé pour l'utilisateur exécutant dans l'espace objet du gestionnaire de sécurité externe.
Si cette propriété a pour valeur true, outre les trois étapes précédentes, des rôles sont créés dans l'espace objet du gestionnaire de sécurité externe pour tous les ensembles d'actions pour la ressource racine qui n'ont pas encore été créés dans les étapes 2 et 3 précédentes.
accessControlDataManagement.createAdminMappingXMLAccess = (true)
Cette propriété ne s'applique qu'à l'externalisation des ressources via l'interface de configuration XML. Si la valeur de la propriété est définie sur false et qu'une ressource est externalisée, alors il se passe les choses suivantes :
  1. La ressource va être externalisée.
  2. Les rôles et les mappages de rôle de la ressource sont écrits dans l'espace objet du gestionnaire de sécurité externe.
Si la propriété a pour valeur true, outre les deux étapes précédentes, un rôle de mappage pour le rôle Administrateur est créé pour l'utilisateur exécutant dans l'espace objet du gestionnaire de sécurité.

Connexion au référentiel utilisateur lors du démarrage

Si vous voulez que le portail retente de se connecter au référentiel utilisateur sous-jacent et si ce dernier n'est pas disponible lors du démarrage, modifiez les deux propriétés suivantes. Cela peut s'avérer nécessaire lorsque le référentiel utilisateur est disponible uniquement pendant un intervalle de temps donné après l'initialisation du démarrage du portail. Dans la mesure où les administrateurs et les groupes doivent être résolus, le portail ne peut pas démarrer sans se connecter au référentiel utilisateur. Le processus de démarrage du service tente de se connecter au référentiel utilisateur le nombre de fois spécifié, en attendant à chaque fois que l'intervalle de temps défini s'écoule avant de lancer la prochaine tentative. Si toutes les tentatives échouent, le processus de démarrage du service abandonne en émettant une exception.
accessControlDataManagement.ldapFailoverNumberOfAttempts = ( 1 )
Utilisez cette propriété pour spécifier combien de fois le processus de démarrage du service doit tenter de se connecter au référentiel utilisateur. La valeur par défaut est 1 (une fois).
accessControlDataManagement.ldapFailoverInterval = ( 60 )
Utilisez cette propriété pour spécifier combien de temps le processus de démarrage du service doit attendre avant de retenter de se connecter au référentiel utilisateur. Cette valeur est exprimée en secondes. La valeur par défaut est 60 secondes.