Rational Asset
Manager peut s'intégrer à des référentiels LDAP (Lightweight Directory Access Protocol) afin
d'authentifier les utilisateurs, d'extraire les informations concernant ces derniers et d'exploiter les liaisons entre les groupes.
Avant de commencer
Pour cela, vous devez disposer des droits d'administrateur de référentiels. Vous devez également être familiarisé avec le schéma LDAP du registre à utiliser.
Procédure
- Ouvrez une session dans l'application Web Rational Asset
Manager.
- Ouvrez la page Administration.
- Sous Administration des référentiels, cliquez sur Configuration.
- Dans la section Registre d'utilisateurs personnalisé, cochez la
case "Utiliser un registre d'utilisateurs personnalisé".
- Si vous prévoyez d'utiliser votre propre classe pour l'intégration avec
un registre d'utilisateurs personnalisé, spécifiez son chemin complet.
Sinon, conservez la classe par défaut.
- Entrez l'ID de connexion d'un utilisateur disposant de droits d'administrateur
pour accéder
à Rational Asset
Manager. (Si aucun administrateur valide n'est désigné, vous ne pourrez pas vous connecter à
l'application Web Rational Asset Manager
en tant qu'administrateur et vous ne serez pas en mesure de la configurer).
- Cliquez sur Configurer.
- Dans la page Configuration de la classe, remplissez le formulaire afin de configurer la relation
entre Rational Asset Manager et
le schéma du registre LDAP. Si vous laissez un champ à blanc, sa valeur par défaut
sera utilisée. Si vous voulez qu'une valeur reste indéfinie (Null), entrez un espace (" ").
- URL du serveur LDAP : adresse URL du serveur LDAP ; par exemple, ldap://<url>:389.
Pour sécuriser la
communication avec ce serveur, utilisez une URL de la forme ldaps://<url>:636.
- Nom distinctif de l'utilisateur : Nom d'utilisateur
servant à s'identifier auprès du registre afin d'en obtenir l'accès.
Entrez le nom distinctif. Par exemple,
uid=123456,c=us,ou=exempleentreprise,o=example.com.
- Mot de passe de l'utilisateur : mot de passe de l'utilisateur nommé ci-dessus.
- Propriété ID unique de l'utilisateur :
nom de la propriété de l'instance objectClass pour l'utilisateur représentant l'ID unique. Par exemple, la propriété serialNumber
de (objectClass) person ou la propriété sAMAccountName
de (objectClass) user.
- Propriété ID de connexion de l'utilisateur : La propriété de (objectClass)
dont se sert un utilisateur pour se connecter. Même s'il est courant que l'ID
unique et l'ID de connexion soient identiques, il est possible que le registre soit
configuré de sorte qu'un utilisateur se connecte avec un autre ID (par exemple, avec
une adresse électronique). Notez que la propriété de l'ID de connexion
doit être identique à l'ID de connexion de l'utilisateur à l'étape 6.
- Propriété Numéro de téléphone de l'utilisateur : La propriété
de (objectClass) qui représente le numéro de téléphone de l'utilisateur. Par exemple : la propriété telephonenumber
de (objectClass) person.
- Propriété Adresse électronique de l'utilisateur : La
propriété de
(objectClass) qui représente l'adresse électronique de l'utilisateur. Par exemple : la propriété mail
de (objectClass) person.
- Propriété du nom d'affichage de l'utilisateur :
Propriété (objectClass) représentant le nom de l'utilisateur à afficher dans l'interface. Par exemple : la propriété (objectClass) person's cn.
- Propriété des paramètres régionaux: : La propriété de(objectClass) représentant les paramètres linguistiques de l'e-mail de l'utilisateur. Par exemple : la propriété (objectClass) de la langue de la personne. Si vous ne remplissez pas ce champ, la valeur par défaut sera reprise et les utilisateurs pourront gérer les paramètres linguistiques à partir de . Si vous définissez le champ, la valeur LDAP sera utilisée.
Si la valeur est une langue prise en charge dans Rational Asset Manager
(par exemple, de, ko, ja, zh_TW, zh_CN, es, pt_BR, en, fr, and ru), il définit l'utilisateur à l'aide de cette langue. Si la valeur n'est pas valide (ou inexistante dans LDAP), l'anglais (en) est utilisé.
- Point de départ de la recherche d'un utilisateur dans LDAP : pour éviter des recherches dans des parties du registre ne contenant pas d'objets utilisateur, entrez la valeur du chemin de la racine depuis l'endroit où débute la recherche.
Par
exemple, ou=exempleentreprise,o=example.com.
- Filtre de recherche d'utilisateur : canevas à utiliser lors de la recherche d'un utilisateur. La variable %v représente le terme recherché qui a été entré
dans un champ de texte. La recherche a lieu comme si un caractère générique était ajouté à la suite
du terme recherché. Le modèle de recherche par défaut est constitué de manière à trouver toutes les
classes d'objet (objectClass) person dont la propriété mail ou la
propriété name est identique au terme recherché.
- Point de départ de la recherche d'un groupe dans LDAP : semblable à une recherche de base, il s'agit d'une recherche de base pour la recherche de groupes. Par
exemple, ou=listemembres,ou=groupes,o=example.com.
- Filtre de recherche de groupe : semblable à un filtre basé sur un utilisateur, il s'agit du filtre pour la recherche de groupes.
Par défaut, le terme entré par l'utilisateur est recherché
dans groupOfUniqueNames (groupe statique), groupOfNames (groupe
LDAP statique), groupOfUrls (groupe LDAP dynamique) et group (groupe
défini par Active
Directory).
- Modèle d'URL des images : il est courant de stocker des images ailleurs que dans un registre LDAP. Vous pouvez extraire
les photos des utilisateurs via une URL en configurant ce modèle afin d'extraire
la photo d'un utilisateur en même temps que ses données sont extraites du registre.
Dans le modèle,
${propriété} représente une propriété de la classe d'objet (objectClass) de l'utilisateur
qui sera remplacée par sa valeur lorsque la photo sera extraite. Par exemple, dans le cas
d'un modèle d'URL de la forme https://<url serveur images>/photo/${uid}.jpg,
la photo d'un utilisateur dont la propriété uid serait 123456 pourrait être obtenue
à l'URL https://<url serveur images>/photo/123456.jpg.
Résultats
L'application Web Rational Asset
Manager est maintenant correctement configurée pour utiliser LDAP comme mécanisme
d'authentification et d'extraction des informations utilisateur. Les administrateurs de communautés
peuvent utiliser la page Groupes d'utilisateurs de leur communauté pour lier les groupes d'utilisateurs
dont ils ont la charge aux groupes définis dans le registre LDAP. Si vous souhaitez utiliser LDAP comme moyen d'authentification des utilisateurs,
vous devez le configurer à partir de la console
d'administration de WebSphere Application
Server.
Remarque : Si vous utilisez une authentification LDAP et qu'un nom d'hôte LDAP unique est mappé vers plusieurs adresses IP dans votre configuration
réseau, vous devez utiliser la console d'administration WebSphere Application Server pour appliquer la propriété de configuration appropriée et empêcher de possibles arrêts du compte utilisateur LDAP si des utilisateurs se connectent à Rational Asset Manager avec des droits d'accès non valides.
Une connexion non valide déclenche la validation de l'utilisateur par le serveur avec chaque adresse IP
et occasionne ainsi de nombreux échecs de connexion. Si vous avez défini un nombre maximal de tentatives de connexion, une connexion non valide peut déclencher un arrêt du compte LDAP. Pour empêcher que cet incident ne se produise, suivez les étapes décrites ici : http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672