Configuration de la fonction des utilisateurs transitoires

Outre l'option d'authentification OpenID de base, vous pouvez accorder l'accès à HCL Digital Experience aux utilisateurs, qui sont jugés dignes de confiance et vérifiés par un fournisseur d'identité. Ces utilisateurs n'ont pas besoin d'un compte d'utilisateur Portal enregistré local.

Pourquoi et quand exécuter cette tâche

Les utilisateurs Facebook et Google peuvent s'authentifier auprès de l'instance de serveur HCL avec leurs données d'identification de fournisseur d'identités. Ils sont autorisés à accéder à certaines données dans HCL sans disposer d'un compte local. Vous pouvez accorder le même accès à tous les fournisseurs d'identités ou configurer différents droits d'accès en fonction du fournisseur d'identités. Cette option vous permet de fournir une vue personnalisée pour les utilisateurs non inscrits tout en continuant à fournir des avantages aux utilisateurs complètement inscrits.

Procédure

  1. Exécutez la tâche suivante à partir du répertoire wp_profile_root\ConfigEngine avec les paramètres appropriés :
    Cluster note : Exécutez cette étape sur le noeud principal uniquement.
    • AIX® : ./ConfigEngine.sh enable-transient-user -DWasUserId=username -DWasPassword=password
    • HP-UX: ./ConfigEngine.sh enable-transient-user -DWasUserId=username -DWasPassword=password
    • IBM® i: ConfigEngine.sh enable-transient-user -DWasUserId=username -DWasPassword=password
    • Linux : ./ConfigEngine.sh enable-transient-user -DWasUserId=username -DWasPassword=password
    • Solaris: ./ConfigEngine.sh enable-transient-user -DWasUserId=username -DWasPassword=password
    • Windows : ConfigEngine.bat enable-transient-user -DWasUserId=username -DWasPassword=password
    Ajoutez les paramètres suivants pour personnaliser la tâche selon vos besoins métier :
    -Dtransparent.suffix
    Définissez cette valeur sur un suffixe dn utilisé pour des utilisateurs transitoires. Le suffixe NE DOIT PAS correspondre à vos suffixes courants pour les utilisateurs définitivement enregistrés. La valeur par défaut est o=transparent.
    -Dtransparent.prefix
    Définissez cette valeur sur un préfixe utilisé pour les utilisateurs transitoires. Par exemple, si vous voulez définir l'attribut RDN, attribuez-lui la valeur cn.
    Remarque : Procédez comme suit si vous avez entré le paramètre transparent.suffix :
    1. Connectez-vous en tant qu'administrateur à WebSphere® Integrated Solutions Console.
    2. Accédez à Sécurité > Sécurité globale.
    3. Accédez à Référentiel de comptes d'utilisateurs > Définitions de domaine disponibles et sélectionnez Référentiels fédérés.
    4. Cliquez sur Configure (Configurer).
    5. Accédez à Référentiels du domaine et cliquez sur le lien dans la colonne d'entrée de base pour l'identificateur de référentiel transientidp, par exemple o=transparent.
    6. Remplacez la valeur des zones suivantes par la nouvelle valeur :
      • Distinguished name of a base entry that uniquely identifies this set of entries in the realm Par exemple, o=transparent.
      • Distinguished name of a base entry in this repository Par exemple, o=transparent
    7. Cliquez sur OK.
    8. Sauvegardez vos modifications.
    9. Arrêtez puis redémarrer le serveur WebSphere_Portal.
  2. Facultatif : Procédez comme suit pour créer des objets de groupe de fournisseurs externes afin d'attribuer des droits d'accès différents :
    Important : Après l'exécution de la tâche enable-transient-user, tous les utilisateurs sont identifiés avec le groupe authentifié et n'ont pas de groupes explicites.
    1. Connectez-vous en tant qu'administrateur à WebSphere® Integrated Solutions Console.
    2. Accédez à Sécurité > Sécurité globale.
    3. Accédez à Référentiel de comptes d'utilisateurs > Définitions de domaine disponibles et sélectionnez Référentiels fédérés.
    4. Cliquez sur Configure (Configurer).
    5. Accédez à Référentiels du domaine et cliquez sur transientidp dans la colonne Identificateur de référentiel.
    6. Cliquez sur Nouveau et ajoutez les informations suivantes :
      • Nom : buildgroupsfor
      • Valeur : Entrez la liste des fournisseurs d'identités pris en charge pour lesquels vous voulez créer des groupes, par exemple : facebook Google. Les éléments de la liste doivent être séparés par un espace. Les fournisseur d'identité sont sensibles à la casse et doivent correspondre aux informations entrées pour les paramètres idp.providerlist et openid.servicenames.
    7. Cliquez sur OK.
    8. Sauvegardez vos modifications.
    9. Arrêtez puis redémarrer le serveur WebSphere_Portal.
  3. Facultatif : Procédez comme suit pour marquer les utilisateurs de fournisseur d'identité transitoires comme étant externes :
    Information : Après l'exécution de la tâche enable-transient-user, le système crée des groupes internes pour chaque fournisseur d'identité. Vous pouvez utiliser ces groupes dans le portlet Droits d'accès aux ressources du menu Portal Administration. Utilisez le portlet Droits d'accès aux ressources pour créer un ensemble de pages et de portlets que les utilisateurs transitoires peuvent afficher et utiliser.

    Vous pouvez également combiner la fonction des utilisateurs transitoires avec la fonction des utilisateurs externes dans HCL. Vous pouvez identifier un groupe d'utilisateurs externes ou transitoires avec un suffixe de base de données. Tous les utilisateurs externes et transitoires se voient alors accorder un principe virtuel spécial dans le contrôle d'accès. Ce principe virtuel permet d'octroyer un ensemble global de droits d'accès à ces utilisateurs.

    1. Connectez-vous en tant qu'administrateur à WebSphere® Integrated Solutions Console.
    2. Accédez à Ressources > Environnement de ressource > Fournisseurs d'environnement de ressources.
    3. Recherchez WP PumaStoreService et cliquez sur Propriétés personnalisées.
    4. Ajoutez la propriété parentDN.externalUsers avec la valeur indiquée pour transparent.suffix. Si vous n'avez pas entré de valeur dans transparent.suffix, tapez o=transparent.
    5. Sauvegardez vos modifications.
    6. Arrêtez puis redémarrer le serveur WebSphere_Portal.
  4. Procédez comme suit pour charger les attributs utilisateur lors de l'authentification :
    Remarque : Les utilisateurs transitoires n'ont pas d'attributs stockés localement. Il est donc utile de charger les attributs du fournisseur d'identité lors de l'authentification.
    Remarque : Pour autoriser des utilisateurs transitoires à créer ou modifier des pages vous devez mapper un nom abrégé sur ces derniers. L'attribut utilisé pour le nom abrégé est l'attribut de recherche d'utilisateur par défaut. Si vous ne connaissez pas le nom de l'attribut, vous pouvez le trouver tel que défini dans le fournisseur d'environnement de ressources PumaStoreService. Les valeurs les plus couramment utilisées sont uid et cn.
    1. Connectez-vous en tant qu'administrateur à WebSphere® Integrated Solutions Console.
    2. Accédez à Sécurité > Sécurité globale > Web et sécurité SIP > Relation de confiance > Intercepteurs.
    3. Sélectionnez com.ibm.portal.auth.tai.OpenidTAI.
    4. Ajoutez les propriétés suivantes pour OpenID :
      • provider.openid.loadattributes=provider|method;provider2|method
        Remarque : method peut être openid.sreg ou openid.ax selon le type OpenID pris en charge par votre fournisseur d'identité.
      • Les propriétés suivantes doivent être entrées sur une seule ligne.
        • provider.openid.loadattributes.provider=portalattributename|
        • idpattributename;portalattributename2|idpattributename2
      • Les propriétés suivantes doivent être entrées sur une seule ligne.
        • provider.openid.loadattributes.provider2=portalattributename|
        • idpattributename;portalattributename2|idpattributename2
      Par exemple, vous pouvez ajouter les nouvelles propriétés suivantes pour OpenID :
      • provider.openid.loadattributes=google|openid.ax;yahoo|openid.ax
      • Les propriétés suivantes doivent être entrées sur une seule ligne.
        • provider.openid.loadattributes.google=cn|
        • http://axschema.org/namePerson/first;sn|
        • http://axschema.org/namePerson/last;ibm-primaryEmail|
        • http://axschema.org/contact/email
    5. Ajoutez la nouvelle propriété suivante pour Facebook :
      • Les propriétés suivantes doivent être entrées sur une seule ligne.
        • provider.facebook.loadattributes=portalattributename|
        • idpattributename;portalattributename2|idpattributename2
      Par exemple, vous pouvez ajouter les nouvelles propriétés suivantes pour Facebook :
      • Les propriétés suivantes doivent être entrées sur une seule ligne.
        • provider.facebook.loadattributes=sn|
        • first_name;cn|last_name;uid|name
    6. Sauvegardez vos modifications.
    7. Arrêtez puis redémarrer le serveur WebSphere_Portal.
  5. Facultatif : Procédez comme suit pour autoriser les demandes d'attribut pour des utilisateurs transitoires :
    Important : Certains composants de portail, tels que Web Content Manager, peuvent avoir besoin des attributs de l'utilisateur en cours pour fonctionner comme prévu. uid est l'un des attributs typiquement nécessaires.
    1. Connectez-vous en tant qu'administrateur à WebSphere® Integrated Solutions Console.
    2. Go to Resources > Resource Environment > Resource Environment Providers.
    3. Select the WP_PumaStoreService resource environment provider.
    4. Select Custom properties.
    5. Si la propriété n'existe pas, cliquez sur Nouveau pour la créer. Sinon, éditez la propriété store.puma_default.filter.TransparentUserFilter.classname.
    6. Indiquez com.ibm.wps.um.TransparentUserFilter pour la propriété Valeur.
    7. Sauvegardez vos modifications.
    8. Si la propriété n'existe pas, cliquez sur Nouveau pour la créer. Sinon, éditez la propriété store.puma_default.filter.TransparentUserFilter.position.
    9. Indiquez -10 pour la propriété Valeur.
    10. Sauvegardez vos modifications.
    11. Cliquez sur Appliquer.
    12. Click Save to save the changes to the master configuration.
    13. Arrêtez puis redémarrer le serveur WebSphere_Portal.