Configuration d'eTrust SiteMinder pour effectuer l'autorisation

La configuration de Computer Associates eTrust SiteMinder pour l'exécution de l'autorisation peut être effectuée indépendamment de sa configuration en vue de l'authentification. Toutefois, si vous utilisez eTrust SiteMinder pour effectuer l'autorisation pour HCL Digital Experience, vous devez aussi l'employer pour l'authentification. L'utilisation d'eTrust SiteMinder à des fins d'autorisation seule n'est, à ce jour, pas prise en charge.

Pourquoi et quand exécuter cette tâche

Procédez comme suit pour configurer eTrust SiteMinder pour l'autorisation :

Procédure

  1. Facultatif : Dans eTrust SiteMinder version 5.5 et supérieure, la configuration des agents Web d'eTrust SiteMinder, notamment les secrets partagés, est gérée de manière centrale et peut être dynamique. Vous pouvez créer un nouvel agent personnalisé pour garantir un secret partagé statique. Pour créer un agent personnalisé dans eTrust SiteMinder, procédez comme suit :
    1. Ouvrez la console d'administration eTrust SiteMinder.
    2. Sélectionnez Types d'agent à partir du menu Vue > Types d'agent.
    3. Cliquez à l'aide du bouton droit de la souris sur Types d'agent, puis sélectionnez l'option de création d'un type d'agent dans le menu contextuel.
    4. Entrez un Nom et une Action pour le nouveau type d'agent. Les autres zones sont facultatives.
    5. Cliquez sur OK.
    6. Sélectionnez Agents à partir du menu Vue > Agents.
    7. Avec le bouton droit de la souris, cliquez sur Agent, puis sélectionnez l'option de création d'agent pour créer un objet agent du type du nouvel agent.
  2. Facultatif : Assurez-vous que les utilisateurs ne sont pas créés via HCL.
    Si vous utilisez eTrust SiteMinder, vous disposez probablement d'un processus d'application des accès utilisateur pour créer et mettre à jour des utilisateurs et des groupes, et gérer les membres d'un groupe. Vous voudrez probablement continuer à utiliser ce processus d'approvisionnement utilisateur plutôt que gérer votre annuaire via HCL. HCL crée des entrées dans l'annuaire de deux façons différentes :
    • Les administrateurs peuvent créer des entrées à l'aide du portlet Gestion des utilisateurs et des groupes
    • Les utilisateurs peuvent créer des entrées à l'aide de l'écran d'auto-enregistrement
  3. Utilisez un éditeur de texte pour ouvrir le fichier wkplc_comp.properties dans le répertoire suivant :
  4. Mettez à jour les paramètres de gestion de l'espace de nom dans le fichier wkplc_comp.properties.
    1. Pour wp.ac.impl.EACserverName, entrez les informations de contexte de l'espace de nom afin de faire la distinction entre les noms de rôles de portail externalisés et les autres noms de rôles dans l'espace de nom.
      Remarque : Si cette option est définie, wp.ac.impl.EACcellName et wp.ac.impl.EACappname doivent l'être aussi. Les trois paramètres doivent être définis ou aucun.
    2. Pour wp.ac.impl.EACcellName, entrez les informations de contexte de l'espace de nom pour faire la distinction entre les noms de rôles de portail externalisés et les autres noms de rôles dans l'espace de nom.
      Remarque : Si cette option est définie, wp.ac.impl.EACserverName et wp.ac.impl.EACappname doivent l'être aussi.
    3. Pour wp.ac.impl.EACappname, entrez les informations de contexte de l'espace de nom pour faire la distinction entre les noms de rôles de portail externalisés et les autres noms de rôles dans l'espace de nom.
      Remarque : Si ce paramètre est défini, wp.ac.impl.EACcellName et wp.ac.impl.EACserverName doivent l'être aussi.
    4. Pour wp.ac.impl.reorderRoles, entrez false afin de conserver l'ordre des rôles, ou true pour réorganiser les rôles par type de ressource.
  5. Entrez les paramètres suivants dans le fichier wkplc_comp.properties. Accédez à l'en-tête SiteMinder :
    Clustered environments : Effectuez cette étape sur tous les noeuds.
    Cluster note : Effectuez cette étape sur tous les noeuds du cluster. Les paramètres suivants doivent correspondre sur tous les noeuds de l'environnement en cluster. La seule exception est le paramètre wp.ac.impl.PDServerName.
    1. Pour wp.ac.imp.SMDomain, entrez le domaine eTrust SiteMinder contenant toutes les ressources externalisées.
    2. Pour wp.ac.impl.SMScheme, entrez le nom d'objet de la méthode d'authentification eTrust SiteMinder à utiliser lorsque vous créez des domaines.
    3. Pour wp.ac.impl.SMAgent, entrez le nom de l'agent créé dans eTrust SiteMinder pour une instance spécifique du gestionnaire de sécurité externe.
    4. Pour wp.ac.impl.SMAgentPwd, entrez le mot de passe pour wp.ac.impl.SMAgent.
    5. Pour wp.ac.impl.SMadminId, entrez l'ID administrateur utilisé par eTrust SiteMinder pour accéder au serveur de règles eTrust SiteMinder.
    6. Pour wp.ac.impl.SMAdminPwd, entrez le mot de passe pour wp.ac.impl.SMadminId.
    7. Pour wp.ac.impl.SMUserDir, entrez l'objet du répertoire utilisateur eTrust SiteMinder faisant référence au registre d'utilisateurs LDAP.
    8. Pour wp.ac.impl.SMFailover, entrez true si plusieurs serveurs sont répertoriés dans wp.ac.impl.SMServers, ou false si aucun autre serveur n'est disponible pour la reprise en ligne.
    9. Pour wp.ac.impl.SMServers, entrez une liste de serveurs séparés par des virgules pour l'agent eTrust SiteMinder.
  6. Si des serveurs de règles dans le paramètre wp.ac.impl.SMServers sont configurés pour utiliser des ports autres que ceux par défaut, vous pouvez personnaliser les valeurs suivantes pour chaque serveur indiqué :
    • ipaddress.accountingPort=44441
    • ipaddress.authenticationPort=44442
    • ipaddress.authorizationPort=44443
    • ipaddress.connectionMax=30
    • ipaddress.connectionMin=10
    • ipaddress.connectionStep=5
    • ipaddress.timeout=60
    ipaddress est l'IP serveur spécifique indiquée dans le paramètre wp.ac.impl.SMServers.
    Clustered environments : Effectuez cette étape sur tous les noeuds.
  7. Enregistrez vos modifications dans le fichier de propriétés.
  8. Exécutez la tâche suivante pour configurer eTrust SiteMinder pour l'autorisation.
    • Windows : ConfigEngine.bat enable-sm-authorization -DWasPassword=password -Dwp.ac.impl.SmAgentPw=password -Dwp.ac.impl.SmAdminPw=password depuis le répertoire wp_profile_root\ConfigEngine
    • AIX®SolarisLinux: ./ConfigEngine.sh enable-sm-authorization -DWasPassword=password -Dwp.ac.impl.SmAgentPw=password -Dwp.ac.impl.SmAdminPw=password depuis le répertoire wp_profile_root/ConfigEngine
    Clustered environments : Effectuez cette étape sur tous les noeuds.
  9. Arrêtez et redémarrez les serveurs appropriés afin d'appliquer les modifications. Pour obtenir des instructions spécifiques, accédez à Démarrage et arrêt des serveurs, des gestionnaires de déploiement et des agents de nœud.
  10. Si des utilisateurs autres que l'administrateur sont autorisés à externaliser des ressources, ajoutez-les au domaine eTrust SiteMinder représentant l'administrateur de EXTERNAL_ACCESS_CONTROL.
  11. Procédez comme suit dans le portlet Droits d'accès aux ressources :
    1. Sélectionnez un type de ressource.
    2. Cliquez sur l'icône Attribuer des droits d'accès de cette ressource.
    3. Cliquez sur l'icône Editer un rôle pour externaliser un rôle.
    4. Cliquez sur Ajouter pour définir au moins un utilisateur ou un groupe au rôle sélectionné pour la ressource.
    5. Sélectionnez les utilisateurs ou les groupes d'utilisateurs en cliquant sur Recherche d'utilisateurs et de groupes d'utilisateurs ou sur la zone déroulante de l'option Rechercher par définie par défaut à Tous. Cliquez sur OK.
    6. Un message d'information doit confirmer que les membres sélectionnés ont été ajoutés au rôle.
    7. Facultatif : Attribuez explicitement des rôles supplémentaires. Si vous n'attribuez pas au moins un utilisateur ou un groupe à chaque type de rôle pour la ressource, vous devez utiliser l'interface du gestionnaire de sécurité externe pour créer ce type de rôle ultérieurement. Par exemple, si vous n'attribuez aucun utilisateur ou groupe au type de rôle Editeur pour la ressource, vous devez utiliser l'interface du gestionnaire de sécurité externe pour créer ce type de rôle ultérieurement.
    8. Cliquez sur l'icône Externaliser de la ressource. Ces opérations déplacent tous les rôles définis pour chaque ressource que vous avez affectée dans le domaine de règles d'eTrust SiteMinder. Une règle est définie pour chaque rôle externalisé.
  12. Ajoutez des utilisateurs et des groupes aux règles d'eTrust SiteMinder correspondant aux rôles appropriés.