Migration de Security Access Manager

Le processus de migration d'HCL Digital Experience fait migrer les configurations des paramètres de sécurité. Toutefois, il n'existe pas de garantie quant à la migration automatique d'éventuelles définitions de jonctions existantes pour la version précédente d'HCL dans WebSEAL. Vous devez remplacer les anciennes définitions de jonctions par les nouvelles définitions de jonctions d'hôte virtuel.

Pourquoi et quand exécuter cette tâche

Le processus de migration porte sur les configurations de sécurité, à savoir le registre d'utilisateurs, les paramètres VMM et la configuration de la sécurité IBM® WebSphere® Application Server, incluant les configurations d'intercepteur de relations de confiance (TAI). Vous devez installer la dernière version de l'intercepteur de relations de confiance sur la version actuelle du serveur HCL. Cette installation configure la nouvelle instance d'HCL pour l'intégration à Security Access Manager WebSEAL.

Le processus de migration d'HCL ne peut pas modifier les définitions de jonction dans WebSEAL pour faire référence au nouveau serveur. Il ne peut pas permuter entre les jonctions non transparentes ou transparentes standard et les nouvelles jonctions d'hôte virtuel. Vous devez exécuter ces tâches manuellement dans Security Access Manager. L'administrateur de Security Access Manager exécute souvent ces tâches, qui peuvent être distinctes des tâches du personnel administratif d'HCL.

Conseil : Effectuez la procédure ci-dessous en suivant les instructions fournies dans le document Security Access Manager eBusiness WebSEAL Administrative Guide.
Avertissement : La nouvelle jonction d'hôte virtuel doit être créée avant la suppression des anciennes jonctions. Cette approche part du principe qu'aucun conflit susceptible d'empêcher la nouvelle jonction de coexister avec les anciennes n'a été détecté. Un conflit peut survenir si la valeur vhost_label est identique pour la nouvelle jonction et l'ancienne jonction. Essayez d'éviter ces conflits, et si ce n'est pas possible, supprimez les anciennes jonctions avant de créer la nouvelle jonction d'hôte virtuel. Créez d'abord une copie de sauvegarde du fichier de configuration de WebSEAL afin de pouvoir vous y référer si nécessaire.

Procédure

  1. Effectuez les opérations suivantes sur l'instance précédente d'HCL :
    1. Ouvrez le fichier de configuration de WebSEAL.
    2. Recherchez dans le fichier les strophes définissant les jonctions.
      Par exemple: [junction:junction_name].
    3. Enregistrez la valeur de configuration pour chaque jonction pour pouvoir vous y référer ultérieurement.
    4. Enregistrez une copie de sauvegarde du fichier de configuration de WebSEAL.
  2. Créez les nouvelles jonctions d'hôte virtuel en fonction des jonctions issues de l'instance précédente :
    Le format général de la commande pdadmin pour créer une jonction d'hôte virtuel est 
    pdadmin> server task WebSEAL-instance_name-webseald-WebSEAL-HostName virtualhost create -t type -h hostname [options] vhost-label
    Les informations suivantes décrivent les paramètres obligatoires dans la commande pdadmin :
    • WebSEAL-instance_name-webseald-WebSEAL-HostName comporte trois parties, comme indiqué dans le guide d'administration WebSEAL :
      1. Le nom configuré d'une seule instance WebSEAL, par exemple web 1
      2. La chaîne littérale -websealed-
      3. Par exemple, le nom d'hôte est webseal.yourco.com

      La combinaison obtenue serait web 1-websealed-webseal.yourco.com. Vous pouvez utiliser la commande pdadmin server list pour afficher le format correct du nom de serveur.

    • Le libellé d'hôte virtuel (vhost-label) correspond au nom de la jonction d'hôte virtuel.
      • Les jonctions d'hôte virtuel sont toujours installées à la racine de l'espace d'objet WebSEAL.
      • Vous pouvez utiliser ce libellé pour faire référence à une jonction dans l'utilitaire pdadmin.
      • Le libellé de jonction d'hôte virtuel doit être unique dans chaque instance de WebSEAL.
      • Dans la mesure où le libellé représente les jonctions d'hôte virtuel dans l'espace d'objet protégé, le nom du libellé ne doit pas contenir de barre oblique (/).
    • -t type : Ce paramètre indique si la jonction est chiffrée (-t ssl) ou non chiffrée (-t tcp). Ce paramètre est obligatoire pour la création d'une jonction d'hôte virtuel. Pour plus d'informations sur d'autres valeurs possibles, voir le guide d'administration WebSEAL.
    • -h hostname : Ce paramètre indique le serveur dorsal auquel la jonction se connecte. Dans la plupart des cas, le nom d'hôte correspond au serveur HTTP associé à HCL. Ce paramètre est obligatoire pour la création d'une jonction d'hôte virtuel.
    La variable [options] comprend les paramètres suivants :
    • -p port : Ce paramètre indique le numéro de port pour le serveur dorsal auquel la jonction se connecte. Si ce paramètre n'est pas spécifié, la valeur par défaut est 80 pour HTTP ou 443 pour HTTPS. La meilleure pratique consiste à spécifier cette valeur explicitement dans la commande de création de jonction, même si les valeurs par défaut sont utilisées.
    • -v vhost_name[:port] : Ce paramètre correspond au nom d'hôte virtuel et au numéro de port qui définit la jonction. WebSEAL mappe les requêtes entrantes pour ce nom d'hôte et ce port vers cette jonction. Si aucune valeur n'est spécifiée, la valeur par défaut est -h hostnameand-p port.
    • -c header_type : Ce paramètre insère l'identité du client Security Access Manager dans les en-têtes HTTP dans la jonction. L'argument header_type peut inclure une combinaison des en-têtes HTTP Security Access Manager suivants :
      • {iv_user|iv_user-l}
      • iv_groups
      • iv_creds
      • all
      Les types d'en-tête doivent être séparés par des virgules et il ne doit pas y avoir d'espace entre eux. Par exemple: -c iv_user,iv_groups. Indiquer -c all revient au même que spécifier -c iv_user,iv_groups,iv_creds. Ce paramètre est valable pour toutes les jonctions, sauf le type local. Ce paramètre dépend du fonctionnement que vous souhaitez pour l'intercepteur TAI au sein de WebSphere® Application Server. Pour certains modes, l'intercepteur TAI peut être à la recherche de la présence d'un ou de plusieurs de ces en-têtes. L'intercepteur TAI recherche ces en-têtes pour savoir qu'il doit réclamer la demande lorsqu'il est interrogé par la sécurité WebSphere® Application Server. Ce paramètre doit être défini pour correspondre ce que l'intercepteur TAI recherche. Adressez-vous à l'administrateur de votre système WebSphere® si vous avez des doutes sur la manière dont l'intercepteur de relations de confiance est configuré.
    • -b : cette option contrôle la façon dont WebSEAL transmet les informations d'authentification sur le serveur d'arrière-plan. Généralement, ce paramètre dépend de la façon dont vous souhaitez que l'intercepteur TAI soit configuré dans WebSphere® pour valider une relation de confiance avec WebSEAL. L'option habituelle qui est choisie est -b supply. Pour plus d'informations, voir le guide d'administration WebSEAL ou la documentation sur la configuration et l'installation d'ETAI.
    • -k : cette option contrôle si WebSEAL inclut son propre cookie de session dans la demande au serveur d'arrière-plan. Dans certains cas, l'envoi du cookie de session webSEAL au serveur d'arrière-plan est nécessaire. Cette action est nécessaire pour prendre en charge la connexion unique à partir d'HCL vers d'autres services d'arrière-plan où WebSEAL protège également ces services d'arrière-plan.
    • Remarque : Les jonctions à HCL directes ou via un serveur HTTP ne prennent pas en charge l'option -q option de la fonction query_contents. La fonction Query_contents est impossible sur HCL.
    Les informations suivantes sont un exemple de commande pour créer une jonction TCP d'hôte virtuel, sur l'instance web 1 WebSEAL qui s'exécute sur un hôte webseal.yourco.com, pour le nom d'hôte virtuel portalvhost.yourco.com s'exécutant sur le port 80 qui exige un intercepteur TAI dans WebSphere® Application Server. La jonction d'hôte virtuel est marquée vhost_junction_portal_1. Le nom d'hôte de la jonction d'hôte virtuel doit être mappé dans le DNS sur le serveur WebSEAL. Le serveur de portail ou http fonctionne sur l'hôte portal.yourco.com et utilise le port 8080 :
    pdadmin> server task web1-webseald-webseal.yourco.com virtualhost create -t tcp -v portalvhost.yourco.com:80 -h portal.yourco.com -p 8080 -c all -k -b supply vhost_junction_portal_1
  3. Supprimez les anciennes jonctions à l'aide des commandes d'administration appropriées.
    Par exemple: server task instance_name -webseal-host_name delete junction_point