Configurations de groupe avancées

Il est possible d'utiliser les tâches HCL Digital Experience ConfigEngine helper pour définir des configurations de groupe VMM (Virtual Member Manager). Plus précisément, il est possible de configurer le gestionnaire VMM pour savoir comment utiliser l'"attribut d'appartenance au groupe" pris en charge par de nombreux annuaires.

Formation : Attribut d'appartenance au groupe

Un attribut d'appartenance au groupe est une fonction d'annuaire LDAP. Elle permet à un client LDAP d'obtenir l'annuaire pour LDAP pour une liste de groupes dont l'utilisateur est membre. La liste est comme un attribut de l'objet utilisateur. Il n'interroge pas les différents groupes pour voir si un utilisateur est membre de l'un d'eux.

Ce document n'a pas vocation à décrire en détail tous les types de prise en charge d'un attribut d'appartenance au groupe par différents serveurs d'annuaire LDAP. Cette prise en charge est variable pour la plupart des annuaires LDAP : l'attribut est memberOf pour Active Directory. L'attribut est nsroles ou isMemberOf pour Sun/Oracle, en fonction de la version. IBM® Directory Server a l'attribut ibm-allGroups.

De nombreux annuaires LDAP prennent en charge des algorithmes d'appartenance au groupe complexes incluant l'imbrication de groupes en tant que membres d'autres groupes. Ils prennent également en charge l'utilisation de l'appartenance au groupe dynamique en effectuant des requêtes sur des attributs utilisateur, et non de listes de membres statiques. Le gestionnaire VMM prend en charge ces fonctions, mais cela nécessite souvent plusieurs opérations entre VMM et l'annuaire ce qui se révèle inefficace et peu performant. L'utilisation de l'attribut d'appartenance au groupe déplace la charge de calcul de ces structures de groupe complexes sur l'annuaire lui-même, dans lequel il peut être géré beaucoup plus efficacement.

Si votre annuaire LDAP prend en charge un attribut d'appartenance au groupe et que vos cas d'utilisation incluent l'imbrication de groupes ou l'utilisation de groupes dynamiques, configurez VMM pour l'utilisation de l'attribut d'appartenance au groupe. La plupart des annuaires LDAP implémentent cet attribut d'appartenance au groupe en tant qu'attribut "en temps réel". Il est calculé à la demande et non pré-calculé et enregistré en tant qu'attribut persistant de l'utilisateur. L'utilisation de cette prise en charge génère un coût processeur supplémentaire sur l'annuaire LDAP. Généralement, ce coût processeur est justifié par l'amélioration des performances qui peut être obtenue en déchargeant le gestionnaire VMM de la résolution des relations de groupe complexes.

Configuration de VMM pour l'utilisation de l'attribut d'appartenance au groupe

Pour configurer VMM en vue d'utiliser l'attribut d'appartenance au groupe, deux éléments doivent être indiqués :
  • Le nom de l'attribut d'appartenance au groupe
  • La portée de l'attribut. Ces informations indiquent à VMM quel est l'état d'achèvement d'une réponse à une demande de valeur d'attribut d'appartenance au groupe pour un utilisateur.

Le nom est celui de l'attribut dans l'implémentation de l'annuaire LDAP. Par exemple, cet attribut est ibm-allGroups pour IBM® Directory Server. Cet attribut est défini sur la propriété federated.ldap.gc.name dans le fichier wkplc.properties.

La portée, définie dans la propriété federated.ldap.gc.scope, peut prendre l'une des trois valeurs suivantes : direct, nested ou all. Le paramètre de cette propriété dépend de la manière dont votre annuaire LDAP implémente l'attribut d'appartenance au groupe.
directe
La valeur direct signifie que la valeur renvoyée contient uniquement la liste des groupes statiques dont l'utilisateur est un membre direct. Il n'y a pas de tentative de représenter des appartenances à une imbrication de groupes ou à un groupe dynamique. La réponse ici est équivalente du point de vue fonctionnel, par exemple, à une requête de la forme (&(objectClass=groupOfNames)(member=<dn of the user>)). Dans ce cas, il n'y a aucune raison de donner à l'attribut d'appartenance au groupe la préférence sur la requête traditionnelle.
Remarque : Lorsque la portée de l'attribut d'appartenance au groupe est direct ou lorsque vous utilisez la méthode de requête standard, le gestionnaire VMM doit effectuer des tâches supplémentaires pour résoudre les groupes imbriqués ou les groupes dynamiques.
  • Le gestionnaire VMM tente de résoudre des groupes dynamiques si les informations de configuration de groupe dynamique sont définies dans les fichiers de configuration du gestionnaire VMM.
  • VMM tente de résoudre les groupes imbriqués si l'application client, HCL, en fait la demande. Par défaut, HCL demande l'utilisation de groupes imbriqués. Si vos modèles de contrôle d'accès n'utilisent pas l'imbrication de groupes pour l'héritage des droits, désactivez la fonction de groupes imbriqués dans le portail. Reportez-vous à la documentation relative à la propriété personnalisée enableNestedGroups dans le fournisseur d'environnement de ressources WP AccessControlDataManagementService.
    Remarque : Pour éviter tout conflit entre les méthodes de gestion des groupes imbriqués employées par HCL et WebSphere® Application Server, désactivez globalement les groupes imbriqués. Remplacez la valeur de com.ibm.ws.wim.registry.grouplevel par 1. Pour obtenir des instructions, accédez à Désactivation des recherches de groupes imbriqués.
nested
La valeur nested signifie que la réponse reçue du serveur LDAP à une demande pour l'attribut d'appartenance au groupe inclut déjà toutes les relations de groupe imbriqué mais aucune des appartenances au groupe dynamique. Si l'utilisateur est membre du groupe "A2" lui-même membre du groupe "A1", la liste des appartenances au groupe inclut les groupes A1 et A2. Ces informations indiquent au gestionnaire VMM que même si un client demande des informations sur les groupes imbriqués, elles sont déjà fournies dans la réponse. Aucune tâche supplémentaire n'est requise de VMM pour répondre à la demande.
tout
La valeur all signifie que la réponse du serveur LDAP à une demande pour l'attribut d'appartenance au groupe inclut déjà des groupes imbriqués et des groupes dynamiques, s'il en existe.

Il est important de définir la valeur de la portée de manière à refléter précisément la manière dont votre annuaire LDAP permet un fonctionnement correct et efficace. Cette documentation n'a pas vocation à décrire les caractéristiques uniques de chaque répertoire. Dans certains cas, le répertoire peut nécessiter une configuration spécifique pour assurer une prise en charge totale des fonctions de groupe avancées. Par exemple, IBM® Directory Server doit être configuré avec des classes d'objets auxiliaires spécifiques et des enregistrements d'appartenance spéciaux en vue d'assurer la prise en charge intégrale des groupes imbriqués et des groupes dynamiques avec l'attribut ibm-allGroups. Pour plus d'informations sur le déploiement de votre annuaire, reportez-vous à la documentation de votre annuaire LDAP ou consultez votre administrateur LDAP.

Tâches ConfigEngine pour la configuration de groupe avancée

Définissez les propriétés federated.ldap.gc.name et federated.ldap.gc.scope avant d'exécuter l'une des tâches suivantes :
  • wp-create-ldap
  • wp-create-ldap-groupconfig