Activation de l'authentification renforcée, du cookie Mémoriser mes informations, ou des deux

Vous pouvez choisir d'activer l'authentification renforcée et le cookie Mémoriser mes informations séparément ou conjointement.

Avant de commencer

Connectez-vous à WebSphere® Integrated Solutions Console et sélectionnez Sécurité > Sécurité globale > Web et sécurité SIP > Connexion unique (SSO). Vérifiez que les options Mode d'interopérabilité et Propagation de l'attribut de sécurité des communications entrantes Web sont sélectionnées.

Vous pouvez utiliser l'authentification renforcée avec les extensions WSRP (Web Services for Remote Portlets). Le niveau d'authentification défini pour les portlets dans le portail Fournisseur est automatiquement défini sur le portail Client lorsqu'il utilise des services WSRP. Si vous appliquez des mécanismes d'authentification renforcée au portail Fournisseur, les utilisateurs doivent également disposer, si nécessaire, d'informations d'authentification forte sur le portail Client. Pour utiliser l'authentification renforcée avec une extension WSRP, assurez-vous que votre environnement satisfait aux exigences suivantes :
  • Les portails Fournisseur et Consommateur sont HCL Portal version 8.5 ou ultérieures.
  • Vous activez l'authentification renforcée sur les deux portails Fournisseur et Client.
  • Les niveaux d'authentification sont identiques sur les portails Fournisseur et Client.
    Notes :
    • Les administrateurs du portail peuvent modifier à tout moment les niveaux d'authentification du portail Fournisseur ou du portail Client.
    • Si le niveau d'authentification sur le portail Client est inférieur à celui du portail Fournisseur, ce dernier génère le message d'erreur suivant : AccessDeniedFault EJPWC1118E: Authentification utilisateur insuffisante. Les utilisateurs ne peuvent pas accéder au portlet. Pour cette raison, le niveau d'authentification sur le portail Client doit être identique au niveau d'authentification sur le portail Fournisseur.

Pourquoi et quand exécuter cette tâche

Important : Le cookie Mémoriser mes informations n'étend pas la fonction Portal Personalization à la zone publique. Lorsque le cookie Mémoriser mes informations identifie un utilisateur dans une zone publique, l'utilisateur est toujours considéré comme étant anonyme en ce qui concerne le contrôle d'accès.
Web Content Manager note : Le portlet de création et l'afficheur de contenu Web n'assure pas la prise en charge intégrale de l'authentification renforcée ou du cookie Mémoriser mes informations. Le composant du nom d'utilisateur reconnaît toutefois le cookie Mémoriser mes informations. Si le cookie Mémoriser mes informations est défini sur une demande et qu'aucun utilisateur n'est connecté, le concept d'utilisateur anonyme n'est pas utilisé. C'est le nom d'utilisateur avec le nom ou le nom distinctif de l'utilisateur indiqué par le cookie Mémoriser mes informations qui est utilisé.
Restriction : L'authentification renforcée requiert le jeton LtpaToken2 pour la connexion unique. Pour plus d'informations, reportez-vous à la section Implémentation d'une connexion unique pour réduire les authentifications d'utilisateur Web.
Remarque : Lorsque vous activez à la fois l'authentification renforcée et le cookie Mémoriser mes informations, vous recevez les niveaux d'authentification suivants :
  • standard
  • identifié
  • authentifié
Si vous activez uniquement l'authentification renforcée vous recevez les niveaux d'authentification suivants :
  • standard
  • authentifié

Procédure

  1. Accédez au répertoire wp_profile_root/ConfigEngine/properties.
  2. Ouvrez le fichier wkplc.properties à l'aide d'un éditeur de texte.
  3. Entrez l'une des valeurs suivantes pour le paramètre enable_rememberme sous l'en-tête StepUp Authentication :
    Remarque : Ajoutez le paramètre enable_rememberme au fichier wkplc.properties s'il n'existe pas.
    • Si vous activez à la fois l'authentification et le cookie Mémoriser mes informations, entrez la valeur true.
    • Si vous activez uniquement l'authentification renforcée, entrez la valeur false.
    • Si vous activez uniquement le cookie Mémoriser mes informations, laissez la zone vide.
  4. Entrez une valeur pour les paramètres suivants sous l'en-tête StepUp Authentication si vous activez le cookie Mémoriser mes informations :
    Remarque : Accédez au fichier propriétés pour obtenir des informations spécifiques sur les paramètres.
    • sua_user
    • sua_serversecret_password
  5. Enregistrez vos modifications dans le fichier wkplc.properties.
  6. Ouvrez une invite de commande.
  7. Placez-vous dans le répertoire wp_profile_root/ConfigEngine.
  8. Choisissez une des tâches suivantes pour modifier votre environnement :
    • Si vous activez l'authentification renforcée et/ou le cookie Mémoriser mes informations, exécutez la tâche enable-stepup-authentication.
    • Si vous activez uniquement le cookie Mémoriser mes informations, exécutez la tâche enable-rememberme.
    Utilisez la syntaxe de commande suivante :
    • AIX® HP-UX Linux Solaris: ./ConfigEngine.sh task_name -DWasPassword=password
    • IBM® i: ConfigEngine.sh task_name -DWasPassword=password
    • Windows : ConfigEngine.bat task_name -DWasPassword=password
    • z/OS® : ./ConfigEngine.sh task_name -DWasPassword=password

    task_name est enable-stepup-authentication ou enable-rememberme.

  9. Vérifiez s'il existe des messages d'erreurs pour la sortie avant d'exécuter toute tâche supplémentaire. If any of the configuration tasks fail, verify the values in the wkplc.properties file.
  10. Dans un environnement en cluster, copiez le fichier wp.auth.base.sua_loginmodule.jar du répertoire AppServer_root/lib/ext/ de l'un des noeuds de portail dans le répertoire AppServer_root/lib/ext/ du gestionnaire de déploiement.
  11. Arrêtez et redémarrez les serveurs appropriés afin d'appliquer les modifications. For instructions, go to Starting and stopping servers, deployment managers, and node agents.
  12. Procédez comme suit pour changer le niveau d'authentification d'une page ou d'un portlet :
    1. Click the Administration menu icon. Then, click Access > Resource Permissions.
    2. Cliquez sur le lien Pages ou Portlets.
    3. Recherchez la page ou le portlet à changer et cliquez sur le lien Niveau d'authentification.
    4. Choisissez l'un des niveaux suivants :
      Remarque : Les niveaux d'authentification fournis sont les suivants. Si vous avez personnalisé votre authentification renforcée, vous pouvez avoir différents niveaux.
      Standard
      Choisissez le niveau d'authentification Standard si vous voulez que les utilisateurs anonymes et identifiés affichent la page ou le portlet. Le niveau Standard présente les états suivants selon le paramètre de contrôle d'accès défini pour la page ou le portlet :
      • Si les utilisateurs anonymes peuvent accéder à la page ou au portlet, aucune authentification n'est requise.
      • Si seuls les utilisateurs authentifiés peuvent accéder à la page ou au portlet, l'authentification est obligatoire.
      Identifié (disponible si enable_rememberme=true)
      Définissez le niveau d'authentification sur Identifié si vous souhaitez contrôler si le contenu est affiché pour un utilisateur non authentifié en fonction de la présence d'un cookie HTTP persistant. Cette option s'applique aux pages et portlets visibles pour les utilisateurs anonymes. L'option Mémoriser ID utilisateur et mot de passe lors de la connexion en est un exemple. Elle génère le cookie com.ibm.portal.RememberMe.

      Si un utilisateur s'est précédemment authentifié auprès d'HCL et revient avec le cookie com.ibm.portal.RememberMe, cet utilisateur est "identifié" et le contenu s'affiche sans qu'il ait besoin de se connecter. Si un utilisateur tente d'accéder à HCL sans le cookie com.ibm.portal.RememberMe, il devra s'authentifier pour que le contenu s'affiche.

      ATTENTION : Ne définissez pas le niveau d'accès sur identifié pour le portlet Connexion. Cette action pose problème lors de la connexion à HCL.
      Authentifié
      Définissez le niveau d'authentification sur Authentifié si vous voulez que les utilisateurs anonymes et identifiés se connectent pour afficher la page ou le portlet.