Configurer l'intégration avec LDAP

Rational Asset Manager peut s'intégrer à des référentiels LDAP (Lightweight Directory Access Protocol) afin d'authentifier les utilisateurs, d'extraire les informations concernant ces derniers et d'exploiter les liaisons entre les groupes.

Avant de commencer

Pour cela, vous devez disposer des droits d'administrateur de référentiels. Vous devez également être familiarisé avec le schéma LDAP du registre à utiliser.

Procédure

  1. Ouvrez une session dans l'application Web Rational Asset Manager.
  2. Ouvrez la page Administration.
  3. Sous Administration des référentiels, cliquez sur Configuration.
  4. Dans la section Registre d'utilisateurs personnalisé, cochez la case "Utiliser un registre d'utilisateurs personnalisé".
  5. Si vous prévoyez d'utiliser votre propre classe pour l'intégration avec un registre d'utilisateurs personnalisé, spécifiez son chemin complet. Sinon, conservez la classe par défaut.
  6. Entrez l'ID de connexion d'un utilisateur disposant de droits d'administrateur pour accéder à Rational Asset Manager. (Si aucun administrateur valide n'est désigné, vous ne pourrez pas vous connecter à l'application Web Rational Asset Manager en tant qu'administrateur et vous ne serez pas en mesure de la configurer).
  7. Cliquez sur Configurer.
  8. Dans la page Configuration de la classe, remplissez le formulaire afin de configurer la relation entre Rational Asset Manager et le schéma du registre LDAP. Si vous laissez un champ à blanc, sa valeur par défaut sera utilisée. Si vous voulez qu'une valeur reste indéfinie (Null), entrez un espace (" ").
    1. URL du serveur LDAP : adresse URL du serveur LDAP ; par exemple, ldap://<url>:389. Pour sécuriser la communication avec ce serveur, utilisez une URL de la forme ldaps://<url>:636.
    2. Nom distinctif de l'utilisateur : Nom d'utilisateur servant à s'identifier auprès du registre afin d'en obtenir l'accès. Entrez le nom distinctif. Par exemple, uid=123456,c=us,ou=exempleentreprise,o=example.com.
    3. Mot de passe de l'utilisateur : mot de passe de l'utilisateur nommé ci-dessus.
    4. Propriété ID unique de l'utilisateur : nom de la propriété de l'instance objectClass pour l'utilisateur représentant l'ID unique. Par exemple, la propriété serialNumber de (objectClass) person ou la propriété sAMAccountName de (objectClass) user.
    5. Propriété ID de connexion de l'utilisateur : La propriété de (objectClass) dont se sert un utilisateur pour se connecter. Même s'il est courant que l'ID unique et l'ID de connexion soient identiques, il est possible que le registre soit configuré de sorte qu'un utilisateur se connecte avec un autre ID (par exemple, avec une adresse électronique). Notez que la propriété de l'ID de connexion doit être identique à l'ID de connexion de l'utilisateur à l'étape 6.
    6. Propriété Numéro de téléphone de l'utilisateur : La propriété de (objectClass) qui représente le numéro de téléphone de l'utilisateur. Par exemple : la propriété telephonenumber de (objectClass) person.
    7. Propriété Adresse électronique de l'utilisateur : La propriété de (objectClass) qui représente l'adresse électronique de l'utilisateur. Par exemple : la propriété mail de (objectClass) person.
    8. Propriété du nom d'affichage de l'utilisateur : Propriété (objectClass) représentant le nom de l'utilisateur à afficher dans l'interface. Par exemple : la propriété (objectClass) person's cn.
    9. Propriété des paramètres régionaux: : La propriété de(objectClass) représentant les paramètres linguistiques de l'e-mail de l'utilisateur. Par exemple : la propriété (objectClass) de la langue de la personne. Si vous ne remplissez pas ce champ, la valeur par défaut sera reprise et les utilisateurs pourront gérer les paramètres linguistiques à partir de MyDashboard > Modifier. Si vous définissez le champ, la valeur LDAP sera utilisée. Si la valeur est une langue prise en charge dans Rational Asset Manager (par exemple, de, ko, ja, zh_TW, zh_CN, es, pt_BR, en, fr, and ru), il définit l'utilisateur à l'aide de cette langue. Si la valeur n'est pas valide (ou inexistante dans LDAP), l'anglais (en) est utilisé.
    10. Point de départ de la recherche d'un utilisateur dans LDAP : pour éviter des recherches dans des parties du registre ne contenant pas d'objets utilisateur, entrez la valeur du chemin de la racine depuis l'endroit où débute la recherche. Par exemple, ou=exempleentreprise,o=example.com.
    11. Filtre de recherche d'utilisateur : canevas à utiliser lors de la recherche d'un utilisateur. La variable %v représente le terme recherché qui a été entré dans un champ de texte. La recherche a lieu comme si un caractère générique était ajouté à la suite du terme recherché. Le modèle de recherche par défaut est constitué de manière à trouver toutes les classes d'objet (objectClass) person dont la propriété mail ou la propriété name est identique au terme recherché.
    12. Point de départ de la recherche d'un groupe dans LDAP : semblable à une recherche de base, il s'agit d'une recherche de base pour la recherche de groupes. Par exemple, ou=listemembres,ou=groupes,o=example.com.
    13. Filtre de recherche de groupe : semblable à un filtre basé sur un utilisateur, il s'agit du filtre pour la recherche de groupes. Par défaut, le terme entré par l'utilisateur est recherché dans groupOfUniqueNames (groupe statique), groupOfNames (groupe LDAP statique), groupOfUrls (groupe LDAP dynamique) et group (groupe défini par Active Directory).
    14. Modèle d'URL des images : il est courant de stocker des images ailleurs que dans un registre LDAP. Vous pouvez extraire les photos des utilisateurs via une URL en configurant ce modèle afin d'extraire la photo d'un utilisateur en même temps que ses données sont extraites du registre. Dans le modèle, ${propriété} représente une propriété de la classe d'objet (objectClass) de l'utilisateur qui sera remplacée par sa valeur lorsque la photo sera extraite. Par exemple, dans le cas d'un modèle d'URL de la forme https://<url serveur images>/photo/${uid}.jpg, la photo d'un utilisateur dont la propriété uid serait 123456 pourrait être obtenue à l'URL https://<url serveur images>/photo/123456.jpg.

Résultats

L'application Web Rational Asset Manager est maintenant correctement configurée pour utiliser LDAP comme mécanisme d'authentification et d'extraction des informations utilisateur. Les administrateurs de communautés peuvent utiliser la page Groupes d'utilisateurs de leur communauté pour lier les groupes d'utilisateurs dont ils ont la charge aux groupes définis dans le registre LDAP. Si vous souhaitez utiliser LDAP comme moyen d'authentification des utilisateurs, vous devez le configurer à partir de la console d'administration de WebSphere Application Server.
Remarque : Si vous utilisez une authentification LDAP et qu'un nom d'hôte LDAP unique est mappé vers plusieurs adresses IP dans votre configuration réseau, vous devez utiliser la console d'administration WebSphere Application Server pour appliquer la propriété de configuration appropriée et empêcher de possibles arrêts du compte utilisateur LDAP si des utilisateurs se connectent à Rational Asset Manager avec des droits d'accès non valides.

Une connexion non valide déclenche la validation de l'utilisateur par le serveur avec chaque adresse IP et occasionne ainsi de nombreux échecs de connexion. Si vous avez défini un nombre maximal de tentatives de connexion, une connexion non valide peut déclencher un arrêt du compte LDAP. Pour empêcher que cet incident ne se produise, suivez les étapes décrites ici : http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg1PK42672


Commentaires