Configuration de l'adaptateur de coffre des identifications pour Security Access Manager

Vous pouvez utiliser IBM® Security Access Manager dans le service du coffre des identifications d'HCL Digital Experience Portal. HCL Portal comprend un adaptateur de coffre sécurisé permettant d'accéder au boîtier de sécurité GSO (Global Sign-on) Security Access Manager. Toute donnée d'identification de ressource ou toute ressource Tivoli existante peut être utilisée dans les portlets ayant accès au service du coffre des données d'identification, sans opération de configuration supplémentaire. Par ailleurs, le service de coffre des données d'identification et le portlet de gestion du coffre des données d'identification peut créer ou mettre à jour une entrée du boîtier de sécurité GSO.

Pourquoi et quand exécuter cette tâche

Remarque : Les utilisateurs qui stockent les données d'identification dans le fichier accessmanagervault.properties doivent être définis dans Security Access Manager en tant qu'utilisateurs GSO (Global Sign-on).
Clustered note : Dans un environnement en cluster, effectuez les étapes 1 et 2 sur chaque noeud. La valeur WasPassword est le mot de passe administratif du gestionnaire de déploiement.

Procédure

  1. Clustered environments : Effectuez cette étape sur tous les noeuds.
    Exécutez la tâche suivante à partir du répertoire wp_profile_root/ConfigEngine pour valider que le fichier PdPerm.properties est correct et que la communication entre HCL et le serveur Security Access Manager fonctionne :
    Conseil : Exécutez la tâche validate-pdadmin-connection sur le nœud HCL ou sur chacun des nœuds d'un environnement de cluster. Dans un environnement de cluster, WasPassword est le mot de passe d'administrateur du gestionnaire de déploiement. wp.ac.impl.PDAdminPwd correspond au mot de passe utilisateur d'administration de Security Access Manager.
    Tableau 1. Tâche de validation par le système d'exploitation de l'existence du fichier PdPerm.properties
    Système d'exploitation Tâche
    AIX® 
    ./ConfigEngine.sh validate-pdadmin-connection -DWasPassword=password 
                                              -Dwp.ac.impl.PDAdminPwd=password
    HP-UX 
    ./ConfigEngine.sh validate-pdadmin-connection -DWasPassword=password 
                                              -Dwp.ac.impl.PDAdminPwd=password
    IBM®i 
    ConfigEngine.sh validate-pdadmin-connection -DWasPassword=password 
                                            -Dwp.ac.impl.PDdAdminPwd=password
    Linux 
    ./ConfigEngine.sh validate-pdadmin-connection -DWasPassword=password 
                                              -Dwp.ac.impl.PDAdminPwd=password
    Solaris 
    ./ConfigEngine.sh validate-pdadmin-connection -DWasPassword=password 
                                              -Dwp.ac.impl.PDAdminPwd=password
    Windows 
    ConfigEngine.bat validate-pdadmin-connection -DWasPassword=password 
                                             -Dwp.ac.impl.PDAdminPwd=password
    z/OS® 
    ./ConfigEngine.sh validate-pdadmin-connection -DWasPassword=password 
                                              -Dwp.ac.impl.PDAdminPwd=password
    If the task does not run successfully : Exécutez la tâche run-svrssl-config pour créer le fichier de propriétés. Pour plus d'informations, voir Création du fichier PdPerm.properties. Exécutez ensuite la tâche validate-pdadmin-connection à nouveau. Si la tâche ne réussit pas après une seconde tentative, ne passez pas à une étape ultérieure. Le fait que la tâche n'est pas exécutée avec succès indique que votre portail ne peut pas se connecter au serveur Security Access Manager. Corrigez le problème de connectivité entre votre instance de portail et le serveur Security Access Manager.
  2. Exécutez la tâche suivante pour créer et remplir le fichier wp_profile_root/PortalServer/config/config/accessmanagervault.properties :
    Tableau 2. Tâches de création et de renseignement du fichier de propriétés par système d'exploitation
    Système d'exploitation Tâche
    AIX® ./ConfigEngine.sh enable-tam-vault -DWasPassword=password -Dwp.ac.impl.PDAdminPwd=password
    HP-UX ./ConfigEngine.sh enable-tam-vault -DWasPassword=password -Dwp.ac.impl.PDAdminPwd=password
    IBM®i ConfigEngine.sh enable-tam-vault -DWasPassword=password -Dwp.ac.impl.PDAdminPwd=password
    Linux ./ConfigEngine.sh enable-tam-vault -DWasPassword=password -Dwp.ac.impl.PDAdminPwd=password
    Solaris ./ConfigEngine.sh enable-tam-vault -DWasPassword=password -Dwp.ac.impl.PDAdminPwd=password
    Windows ConfigEngine.bat enable-tam-vault -DWasPassword=password -Dwp.ac.impl.PDAdminPwd=password
    z/OS® ./ConfigEngine.sh enable-tam-vault -DWasPassword=password -Dwp.ac.impl.PDAdminPwd=password
  3. Exécutez la procédure suivante pour définir la valeur de la propriété systemcred.dn :
    Remarque : La propriété systemcred.dn définit le nom distinctif de l'administrateur de coffre. Toutes les données d'accréditation du système sont enregistrées sous le compte de l'utilisateur. Pour Security Access Manager, cet utilisateur doit être un utilisateur existant de Security Access Manager. L'adaptateur Security Access Manager vérifie si l'utilisateur existe dans Security Access Manager avant l'accès aux emplacements.
    1. Log on to the WebSphere® Integrated Solutions Console.
    2. Go to Resources > Resource Environment > Resource Environment Providers.
    3. Cliquez sur WP CredentialVaultService.
    4. Under Additional Properties, click Custom properties.
    5. Editez la propriété systemcred.dn. Définissez la valeur sur un utilisateur Security Access Manager existant.
  4. Arrêtez et redémarrez les serveurs appropriés afin d'appliquer les modifications. Pour obtenir des instructions spécifiques, accédez à Démarrage et arrêt des serveurs, des gestionnaires de déploiement et des agents de nœud.
  5. Créez un segment et un emplacement de coffre d'identifications à utiliser par Security Access Manager :
    1. Click the Administration menu icon. Then, click Access > Credential Vault. Cliquez ensuite sur Ajout d'un segment de coffre.
    2. Sélectionnez le coffre AccessManager dans la liste des coffres. Il s'appelle par défaut AccessManager.
    3. Entrez un nom de segment de coffre et cliquez sur OK.
    4. Click Add a vault slot.
    5. Sélectionnez le coffre AccessManager dans le menu Coffre.
    6. Entrez un Nom pour l'emplacement de coffre et cliquez sur OK.
  6. Facultatif : Utiliser le mécanisme de codage de WebSphere® Application Server pour masquer les mots de passe dans le fichier accessmanagervault.properties et le mot de passe d'administration Security Access Manager dans la propriété pdpw.