Création d'un domaine de connexion unique entre HCL Portal et le service de recherche distant

Consultez les étapes permettant de créer un domaine de connexion unique entre HCL et le service de recherche distant. Set up remote search service by using EJB, since SOAP support for remote search services was deprecated with HCL version 8.0.

Procédure

Exportez les clés LTPA à partir du serveur HCL en procédant comme suit :
Cluster note : Dans un environnement en cluster, exécutez ces étapes sur le gestionnaire de déploiement.
1. Open the WebSphere® Integrated Solutions Console.
2. Sélectionnez Sécurité > Sécurité générale > Authentification > LTPA.
3. Entrez un mot de passe pour la clé.
4. Dans la zone du nom de clé totalement qualifié, entrez un nom de fichier de clés, puis cliquez sur Exporter les clés. Les clés sont enregistrées dans le fichier profile_root/Key File Name, où portal_root correspond au profil Deployment Manager ou au profil HCL.
Importez le fichier de clés sur le serveur de recherche distant. Si votre environnement contient des serveurs d'applications supplémentaires, exécutez les étapes suivantes sur tous les autres serveurs qui feront partie de ce domaine de connexion unique :
1. Copiez le fichier de clés que vous avez exporté à l'étape 1 entre le serveur HCL et le serveur de recherche distant.
2. Log in to the WebSphere® Integrated Solutions Console.
3. Select Security > Global Security > Authentication > LTPA.
4. Dans la zone du nom de clé totalement qualifié, entrez le nom de répertoire et de fichier de clés que vous avez indiqué à l'étape 2a, puis cliquez sur Importer les clés. Les clés sont propagées à tous les serveurs du domaine SSO.
5. Redémarrez tous les profils WebSphere® Application Server sur le serveur.
Vérifiez que la génération de clés LTPA automatique est désactivée sur tous les serveurs du domaine de connexion unique en procédant comme suit :
1. Log in to the WebSphere® Integrated Solutions Console.
2. Sélectionnez Sécurité > Sécurité générale. Dans le panneau Mécanismes d'authentification et expiration, cliquez sur LTPA.
3. Dans Génération de clés, sélectionnez Groupes d'ensembles de clés.
4. Cliquez sur NodeLTPAKeySetGroup.
  Cluster note : Dans un environnement en cluster, cliquez sur CellLTPAKeySetGroup.
5. Dans le panneau Génération de clés, désactivez la case à cocher Générer automatiquement des clés.
6. Cliquez sur OK.
7. Click Save to save your changes to the master configuration.
8. Déconnectez-vous de la console WebSphere® Integrated Solutions Console.
Vérifiez que le décalage entre les horloges système n'excède pas 5 minutes entre le(s) serveur(s) HCL et le serveur de recherche distant.
Remarque : Si les horloges ne sont pas synchronisées, l'importation échouera lors de l'étape suivante.
Ajoutez la certification du signataire du serveur de service de recherche distant au serveur du portail en procédant comme suit :
1. Access the WebSphere® Integrated Solutions Console of the portal server.
  Cluster note : Dans un environnement en cluster, exécutez ces étapes sur le gestionnaire de déploiement.
2. Cliquez sur Sécurité > Certificat SSL et gestion des clés > Magasins de clés et certificats > NodeDefaultTrustStore > Certificats de signataire > Extraire d'un port.
  Cluster note : In a clustered environment, the path is Security > SSL certificate and key management > Key stores and certificates > CellDefaultTrustStore > Signer certificates > Retrieve from port.
3. Entrez l'hôte du serveur du service de recherche distant, son port SSL et un alias.
4. Cliquez sur Récupérer les informations du signataire.
5. Cliquez sur OK.
Ajoutez la certification du signataire du serveur de portail dans le serveur du service de recherche distant en procédant comme suit :
1. Accédez à WebSphere® Integrated Solutions Console du serveur du service de recherche distant.
2. Click Security > SSL certificate and key management > Key stores and certificates > NodeDefaultTrustStore > Signer certificates > Retrieve from port.
3. Entrez l'hôte du serveur du service de recherche distant, son port SSL et un alias.
4. Cliquez sur Récupérer les informations du signataire.
5. Cliquez sur OK.
Sur le serveur de portail, activez la vérification d'identité CSIv2. Pour ce faire, procédez comme suit :

Cluster note : Dans un environnement en cluster, exécutez ces étapes sur la console WebSphere® Integrated Solutions Console du gestionnaire de déploiement.
1. Activez la vérification d'identité CSIv2 dans la connexion sortante :
  1. Accédez à la console WebSphere® Integrated Server Console sur le serveur du portail.
  2. Accédez à Sécurité > Sécurité générale > RMI/IIOP security > CSIv2 outbound communications.
  3. Cochez Use identity assertion.
  4. Une fois terminé, redémarrez le serveur de portail.
2. Activez la vérification d'identité CSIv2 dans la connexion entrante :
  1. Access the WebSphere® Integrated Solutions Console of the remote server.
  2. Accédez à Sécurité > Sécurité globale > RMI/IIOP security > CSIv2 inbound communications.
  3. Check Use identity assertion.
  4. Sous Trusted identities, entrez un astérisque (*) ou l'identité du serveur de portail.
  5. Une fois terminé, redémarrez le serveur distant.
  For more detailed information, refer to the WebSphere® Application Server information center.

Que faire ensuite

Pour plus de détails sur l'exportation du jeton LTPA, reportez-vous au centre d'aide WebSphere® Application Server en accédant à Administration > Sécurité > Gestion de la sécurité > Configuration des mécanismes d'authentification > Configuration de LTPA (Lightweight Third Party Authentication) > Paramètres LTPA (Lightweight Third Party Authentication). Vous pouvez également trouver cette rubrique en lançant une recherche sur l'exportation de clés LTPA dans le centre d'aide WebSphere® Application Server.

Si vous travaillez avec EJB sur un serveur sécurisé, vous devez définir l'ID de l'utilisateur de la recherche. Pour plus de détails sur cette procédure, voir Définition de l'ID utilisateur de recherche.