Configuration de la connexion unique (SSO) avec Security Access Manager

Configure HCL Connections portlets to use single sign-on with IBM® Security Access Manager.

Pourquoi et quand exécuter cette tâche

Single sign-on (SSO) enables users to log in to an HCL Connections application and switch to other applications within the product without having to authenticate again.

Il existe plusieurs façons de configurer la connexion unique. Cette méthode d'authentification permet à Security Access Manager et aux navigateurs web des utilisateurs de se prouver mutuellement leurs identités en toute sécurité.

En configurant HCL Connections et HCL Portal pour qu'ils partagent un même gestionnaire de déploiement, vous gagnez du temps d'administration en regroupant les tâches d'administration pour les deux applications. L'établissement d'un environnement de connexion unique est profitable pour les utilisateurs en créant un environnement plus transparent entre les deux applications.

Pour configurer la connexion unique, procédez comme suit :

Procédure

  1. Avant de fédérer Portal en tant que nœud géré du gestionnaire de déploiement d'HCL Connections, vérifiez que les domaines (realms) sont identiques entre le gestionnaire de déploiement Connections et Portal.
    Si vous devez changer leur nom afin qu'ils concordent, consultez la rubrique Changement du nom de domaine (realm).
  2. Effectuez les étapes suivantes pour collecter les fichiers sur le nœud principal et les copier sur le gestionnaire de déploiement :
    1. A partir du répertoire wp_profile_root/ConfigEngine du nœud principal, exécutez cette tâche ConfigEngine.bat collect-files-for-dmgr -DWasPassword=password .
      Cette tâche crée un fichier compressé contenant tous les fichiers qui doivent être copiés sur le gestionnaire de déploiement. Le fichier compressé, nommé filesForDmgr.zip, est placé dans le répertoire wp_profile_root/filesForDmgr.
    2. Arrêtez le gestionnaire de déploiement.
    3. Développez chacun des fichiers du fichier filesForDmgr.zip dans l'emplacement approprié sur le gestionnaire de déploiement en fonction des noms de répertoire dans le fichier compressé. Les noms de répertoire dans le fichier compressé sont fondés sur les noms de répertoire par défaut habituels. The directory that is called AppServer/profiles/Dmgr01 is used to identify the deployment manager profile root, and the AppServer directory is used to identify the deployment manager installation root directory. Si le gestionnaire de déploiement a été installé dans le répertoire par défaut (AppServer) et si le profil a été créé dans le répertoire par défaut (AppServer/profiles/Dmgr01), le fichier compressé peut être développé directement dans le répertoire au-dessus du répertoire AppServer.
      Par exemple : /IBM/WebSphere
    4. Démarrez le gestionnaire de déploiement.
  3. Pour étendre (augmenter) un profil de gestionnaire de déploiement, exécutez la commande suivante à partir du répertoire AppServer_root/bin : 
    manageprofiles.bat -augment -templatePath  c:/IBM/WebSphere/AppServer/profileTemplates/management.portal.augment -profileName Dmgr01
  4. Redémarrez le gestionnaire de déploiement.
  5. Ajoutez le même groupe d'administration Portal que celui d'un administrateur sur le gestionnaire de déploiement d'HCL Connections.
  6. Exécutez la commande suivante à partir du répertoire wp_profile_root/bin afin de fédérer le noeud principal : 
    addNode.bat dmgr_hostname dmgr_port -includeapps -includebuses
-username was_admin_user
-password was_admin_password
    Par exemple:
    addNode.bat DMhost.cn.ibm.com 8879 -includeapps -includebuses -username adminuser -password adminpwd
  7. Sur le serveur Portal, exécutez syncNode.bat, puis redémarrez le gestionnaire de déploiement et tous les agents de noeud.
  8. Pour configurer IBM® HTTP Server avec la connexion unique, supprimez-le puis rajoutez le serveur Web dans la console WebSphere® Application Server Integrated Solutions. Cela aura pour effet de remapper toutes les applications, y compris Portal, et d'importer le certificat du serveur Portal dans IBM® HTTP Server.
  9. Configurez Security Access Manager sur le serveur Portal en suivant les instructions de l'article Configuration de Security® Access Manager qui correspond à votre serveur Portal :
    Remarque : Pour l'intégration des connexions aux portlets, les cookies de session WebSEAL doivent être envoyés au serveur de jonction. Cette action peut être définie par l'ajout de l'option -k aux commandes qui créent une jonction.
  10. Configurez la liste de contrôle d'accès (ACL) pour WebSEAL afin d'autoriser les demandes HTTP PUT. Pour cela, ajoutez cette liste à la jonction Portal.
    1. Créez une ACL HCL Connections par défaut pour remplacer l'ACL WebSEAL par défaut en exécutant les commandes suivantes : 
      acl create lc3-default-acl 
acl modify lc3-default-acl set user sec_master TcmdbsvaBRlrx
acl modify lc3-default-acl set any-other Tmdrx
acl modify lc3-default-acl set unauthenticated T
acl modify lc3-default-acl set group iv-admin TcmdbsvaBRrxl
acl modify lc3-default-acl set group webseal-servers Tgmdbsrxl
    2. Connectez l'ACL par défaut aux URL des racines des applications : 
      acl attach /WebSEAL/tam_server-WebSEAL_instance/app_root lc3-default-acl
      où :
      • tam_server est le nom d'hôte du serveur Security Access Manager.
      • WebSEAL_instance est le nom de l'instance du serveur WebSEAL configuré pour gérer HCL Connections. Par exemple: par défaut
      • app_root est le chemin racine vers les applications HCL Connections, notamment /activities, /blogs, /cognos, /communities, /dogear, /files, /forums, /homepage, /news, /metrics,/mobile, /moderation, /profiles,/search et /wikis.
      • lc3-default-acl est la liste de contrôle d'accès que vous avez définie. Par exemple, acl attach /WebSEAL/tam.example.com-default/activities example-default-acl. Dans ce cas, la commande est acl attach /WebSEAL/tam.example.com-default/PORTAL_VHOST_JCT example-default-acl.