Sun Java Enterprise System 2003Q4 Manuel d'installation |
Chapitre 13
Configuration de la connexion uniqueCe chapitre explique comment configurer la connexion unique (SSO) une fois l'installation termin�e.
Il se compose des sections suivantes :
Pr�sentation de la connexion unique dans Java Enterprise SystemLa connexion unique est la possibilit� qu'a un utilisateur de Java Enterprise System de se connecter une seule fois avec son ID utilisateur et son mot de passe et d'ainsi acc�der � plusieurs composants Sun ONE.
Lors de l'utilisation des services int�gr�s de Java Enterprise System, Identity Server 6.1 constitue la passerelle officielle pour la connexion unique. Les utilisateurs doivent donc se connecter � Identity Server 6.1 pour acc�der aux autres serveurs configur�s pour la connexion unique. Pour plus d'informations sur la connexion unique � Identity Server 6.1, reportez-vous au chapitre 4, « Single Sign-On and Sessions » (Connexion unique et sessions), du manuel Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10).
Dans Java Enterprise System, la connexion unique se d�compose en trois types.
- Services int�gr�s : cette cat�gorie comprend Calendar Server, Instant Messaging, Messaging Server et Portal Server. Il vous suffit de configurer ces produits pour activer la connexion unique.
- Services de serveur d'application internes : si vous avez cr�� votre propre service de serveur d'application interne, vous devez t�l�charger, installer et configurer un agent de strat�gie (s'il est disponible pour votre plate-forme).
- Applications internes ne faisant pas appel � un serveur d'application : cette cat�gorie regroupe les applications internes (Java et autres) pour lesquelles vous ne pouvez activer la connexion unique qu'� l'aide d'Identity Server SDK.
Ce chapitre d�crit le mode de configuration des services Java Enterprise System int�gr�s en cas d'utilisation de la connexion unique. Ce type de connexion unique est �galement d�nomm� dans ce chapitre « connexion unique � Identity Server 6.1 ».
Pour plus d'informations concernant les services d�velopp�s en interne qui peuvent �tre install�s sur les serveurs d'application pris en charge, consultez les documents suivants :
- Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10) ;
- Sun ONE Identity Server Policy Agent 2.1 J2EE Policy Agents Guide (http://docs.sun.com/doc/816-6884-10) ;
- Sun ONE Identity Server Policy Agent 2.1 Web Policy Agents Guide (http://docs.sun.com/doc/816-6772-10).
Pour de plus amples informations concernant les applications d�velopp�es en interne (Java et autres), reportez-vous aux documents suivants :
- Sun ONE Identity Server 6.1 Customization and API Guide (http://docs.sun.com/doc/816-6774-10) ;
- Sun ONE Identity Server 6.1 Administration Guide (http://docs.sun.com/doc/816-6773-10).
Agents de strat�gie
Deux types d'agent de strat�gie sont pris en charge par Identity Server : l'agent Web et l'agent J2EE/Java. L'agent Web applique la strat�gie bas�e sur une URL alors que l'agent J2EE/Java applique une s�curit� et une strat�gie bas�es sur J2EE.
Ces deux types sont disponibles pour l'installation ind�pendamment de l'application Identity Server et peuvent �tre t�l�charg�s � l'adresse suivante :
http://www.sun.com/software/download/inter_ecom.html
Utilisation de la connexion unique dans Calendar Server et Messaging Server
Lorsque vous configurez la connexion unique pour Calendar Server et Messaging Server, vous devez tenir compte des points suivants :
- Une session de messagerie ou d'agenda reste valide tant que la session Identity Server est valide. Si un utilisateur se d�connecte de l'application Identity Server, la session d'agenda ou de messagerie est automatiquement ferm�e (d�connexion unique).
- Les applications � connexion unique doivent se trouver dans le m�me domaine DNS (domaine de cookies).
- Les applications � connexion unique doivent avoir acc�s � l'URL de v�rification de l'application Identity Server (service d'affectation de nom).
- Les navigateurs doivent prendre en charge les cookies.
Configuration de Messaging Server et Calendar Server pour la prise en charge de la connexion uniqueIl existe deux fa�ons de configurer Messaging Server et Calendar Server pour utiliser la connexion unique :
L'utilisation d'un cercle de fiabilit� correspond � la m�thode h�rit�e d'application de la connexion unique. Bien que cette m�thode apporte certaines fonctionnalit�s qui ne sont pas disponibles avec la connexion unique � Identity Server, il vaut mieux �viter de l'utiliser, car tous les d�veloppements futurs concerneront Identity Server.
La proc�dure ci-apr�s explique comme employer Identity Server 6.1. Pour obtenir des informations sur la connexion unique � l'aide d'un cercle de fiabilit�, reportez-vous aux manuels Sun ONE Messaging Server 6.0 Administrator's Guide (http://docs.sun.com/doc/816-6738-10) et Sun ONE Calendar Server 6.0 Administrator's Guide (http://docs.sun.com/doc/816-6708-10).
Pour configurer Messaging Server pour la prise en charge de la connexion unique
- Utilisez les commandes configutil suivantes pour d�finir les quatre param�tres de connexion unique ci-dessous pour Messaging Server. Seul le param�tre local.webmail.sso.amnamingurl est requis pour activer la connexion unique avec Messaging Server. Pour cela, attribuez-lui comme valeur l'URL qui correspond � l'emplacement d'ex�cution du service d'affectation de nom d'Identity Server.
Ces param�tres de connexion unique sont d�taill�s dans le tableau suivant.
Tableau 13-1 Messaging Server - Param�tres de connexion unique
Param�tre
Description
local.webmail.sso.amnamingurl
Indique l'URL du service d'affectation de nom de la connexion unique d'Identity Server.
Valeur par d�faut : http://IdentityServer:port/amserver/namingservice
o� IdentityServer est le nom complet de l'application Identity Server et port le num�ro du port employ� par cette application.
local.webmail.sso.amcookie
Nom de cookie de l'application Identity Server. Si cette application utilise un autre nom de cookie, afin que les composants sachent ce qu'ils doivent rechercher lors de la connexion unique, ce nom doit �tre configur� en tant que local.webmail.sso.amcookiename dans Messaging Server. La valeur par d�faut est iPlanetDirectoryPro et ne doit pas �tre modifi�e si Identity Server est configur� par d�faut.
Valeur par d�faut : iPlanetDirectoryPro
local.webmail.sso.singlesignoff
Permet d'activer (yes) ou de d�sactiver (no) la d�connexion unique d'Identity Server pour Messaging Server.
Si elle est activ�e, un utilisateur qui se d�connecte de Messaging Server est aussi d�connect� d'Identity Server et toutes les autres sessions d�marr�es par l'utilisateur dans Identity Server sont ferm�es.
Identity Server �tant la passerelle d'authentification, la d�connexion unique d'Identity Server est toujours activ�e pour Messaging Server.
Valeur par d�faut : yes
service.http.ipsecurity
Permet de limiter ou non l'acc�s aux sessions des adresses IP de connexion. Si la valeur est « yes », lorsque l'utilisateur se connecte, le serveur stocke l'adresse IP qu'il emploie. Il permet alors uniquement � cette adresse d'utiliser le cookie de session �mis pour l'utilisateur.
Valeur par d�faut : yes
- Red�marrez Messaging Server.
- Si vous devez configurer l'authentification de proxy, consultez la section « Configuration de l'authentification de proxy ».
Pour configurer Calendar Server pour la prise en charge de la connexion unique
- Pour Calendar Server, modifiez les param�tres suivants dans le fichier base_svr_cs/etc/opt/SUNWics5/config/ics.conf :
local.calendar.sso.amnamingurl="http://h�te:port/amserver/namingservice"
local.calendar.sso.amcoookiename="iPlanetDirectoryPro"
local.calendar.sso.logname="am_sso.log"
local.calendar.sso.singlesignoff="yes"
service.http.ipsecurity="no"
render.xslonclient.enable="no"
Les param�tres de connexion unique de Calendar Server sont expliqu�s dans le tableau suivant.
Tableau 13-2 Calendar Server - Param�tres de connexion unique
Param�tre
Description
local.calendar.sso.amnamingurl
Indique l'URL du service d'affectation de nom de la connexion unique � Identity Server.
Valeur par d�faut : http://IdentityServer:port/amserver/namingservice
o� IdentityServer est le nom complet de l'application Identity Server et port le num�ro du port employ� par cette application.
local.calendar.sso.amcoookiename
Nom de cookie de l'application Identity Server. Si cette application utilise un autre nom de cookie, afin que les composants sachent ce qu'ils doivent rechercher lors de la connexion unique, ce nom doit �tre configur� en tant que local.calendar.sso.amcookiename dans Calendar Server. La valeur par d�faut est iPlanetDirectoryPro et ne doit pas �tre modifi�e si Identity Server est configur� par d�faut.
Valeur par d�faut : iPlanetDirectoryPro
local.calendar.sso.singlesignoff
Permet d'activer (yes) ou de d�sactiver (no) la d�connexion unique d'Identity Server pour Calendar Server.
Si elle est activ�e, un utilisateur qui se d�connecte de Calendar Server est aussi d�connect� du composant Identity Server et toutes les autres sessions d�marr�es par l'utilisateur via Identity Server sont ferm�es.
Identity Server �tant la passerelle d'authentification, la d�connexion unique d'Identity Server est toujours activ�e pour Calendar Server.
Valeur par d�faut : yes
service.http.ipsecurity
Permet de limiter ou non l'acc�s aux sessions des adresses IP de connexion. Si la valeur est « yes », lorsque l'utilisateur se connecte, le serveur stocke l'adresse IP qu'il emploie. Il permet alors uniquement � cette adresse d'utiliser le cookie de session �mis pour l'utilisateur.
Valeur par d�faut : yes
render.xslonclient.enable
Permet de contr�ler la g�n�ration c�t� client (uniquement pour Internet Explorer 6.0 ou version ult�rieure). Par d�faut, ce param�tre a pour valeur « yes ». Pour d�sactiver la g�n�ration c�t� client, attribuez-lui la valeur « no » et red�marrez Calendar Server.
Remarque : choisissez pour ce param�tre la valeur « no » pour d�sactiver les feuilles de style pour Internet Explorer, sans quoi Calendar Server ne pourra pas fonctionner avec Identity Server.
- Red�marrez Calendar Server.
- Si vous devez configurer l'authentification de proxy, consultez la section « Configuration de l'authentification de proxy ».
Pour configurer Instant Messaging pour la prise en charge de la connexion unique
Instant Messaging prend syst�matiquement en charge la connexion unique � Identity Server. Lors de la configuration du logiciel Instant Messaging (au moment de son installation), le programme demande si le d�ploiement b�n�ficiera de la connexion unique. Plus pr�cis�ment, il s'agit de savoir si Identity Server SDK est pr�sent sur le syst�me.
Le tableau ci-apr�s indique les param�tres de connexion unique d'Instant Messaging, inclus dans le fichier base_svr_ims/SUNWiim/iim.conf.
Tableau 13-3 Instant Messaging - Param�tres de connexion unique
Param�tre
Description
Valeurs
iim_server.usesso
Ce param�tre indique au serveur s'il doit d�pendre du fournisseur de connexion unique durant l'authentification. Un fournisseur de connexion unique est un module utilis� par le serveur pour valider un ID de session avec un service de connexion unique.
Dans un d�ploiement de portail, l'interface API de la session Portal Server permet � Instant Messaging de valider les ID envoy�s par le client.
Le param�tre iim_server.usesso est associ� au param�tre iim_server.ssoprovider.
La valeur de ce param�tre peut �tre 0, 1 ou -1.
0 : ne pas utiliser le fournisseur de connexion unique (valeur par d�faut).
1 : utiliser d'abord le fournisseur de connexion unique et utiliser par d�faut le serveur LDAP en cas d'�chec de validation de la connexion unique.
-1 : utiliser seulement le fournisseur de connexion unique sans tenter d'effectuer une authentification LDAP en cas d'�chec de validation de la connexion unique.
iim_server.sso.update
Permet de d�terminer si la fin et l'expiration de la session doivent �tre activ�es.
Peut �tre true ou false.
iim_server.ssoprovider
Ce param�tre indique la classe qui applique le fournisseur de connexion unique. Si la valeur de iim_server.usesso est diff�rente de 0 et que cette option ne soit pas d�finie, le serveur utilise le fournisseur de connexion unique par d�faut bas� sur Portal Server (reportez-vous � la documentation de l'interface API de l'application Instant Messaging pour de plus amples informations).
Nom de classe de la mise en œuvre du fournisseur de connexion unique.
Pour plus d'informations, reportez-vous � l'annexe A, « Instant Messaging Configuration Parameters » (Param�tres de configuration d'Instant Messaging) du manuel Sun ONE Instant Messaging 6.1 Administrator's Guide (http://docs.sun.com/doc/817-4113-10).
Pour v�rifier la connexion unique pour Messaging Server, Calendar Server et Instant Messaging
- Connectez-vous en tant qu'utilisateur valide � Portal Desktop.
- Dans le navigateur, tapez l'URL du serveur Messaging Server.
Aucune invitation � vous connecter au serveur Messaging Server ne doit appara�tre.
- Dans le navigateur, tapez l'URL du serveur Calendar Server.
Aucune invitation � vous connecter au serveur Calendar Server ne doit appara�tre.
- Appelez le client Instant Messenger via Portal Desktop ou en saisissant l'URL du serveur Instant Messaging dans votre navigateur.
Aucune invitation � vous connecter au serveur Instant Messaging ne doit appara�tre.
Pour r�soudre les probl�mes de connexion unique
- En cas de probl�me li� � la connexion unique, commencez par rechercher les erreurs �ventuelles dans le fichier journal de la messagerie (base_msg_svr/log/http).
- Augmentez le niveau de connexion :
configutil -o logfile.http.loglevel -v debug
- V�rifiez les messages amsdk dans le fichier base_msg_svr/log/http_sso, puis augmentez le niveau de connexion amsdk :
configutil -o local.webmail.sso.amloglevel -v 5
Les nouveaux niveaux de connexion ne sont appliqu�s qu'apr�s le red�marrage du serveur.
- Assurez-vous que vous utilisez des noms d'h�te complets pour Identity Server et Messaging Server pendant la connexion. Les cookies �tant partag�s uniquement entre les serveurs du m�me domaine, et les navigateurs ne sachant pas � quel domaine appartiennent les noms de serveur locaux, vous devez utiliser les noms complets dans le navigateur pour que la connexion unique fonctionne.
Configuration de la connexion unique pour les canaux d'agenda et de messagerie de Portal ServerPortal Server fournit des canaux d'agenda et de messagerie sp�cialement destin�s � Messaging Server et Calendar Server. Pour g�n�rer � la fois des agendas et des messages dans la m�me application Portal Desktop, ces canaux se connectent � leurs services principaux respectifs afin de r�cup�rer les informations utiles lors de chaque nouveau chargement de Portal Desktop.
Ils tirent tous deux profit des fonctionnalit�s de connexion unique existantes de Portal Server, Messaging Server et Calendar Server, � savoir le service d'adaptation SSO et l'authentification de proxy. Le service d'adaptation SSO est issu d'Identity Server et de Portal Server. Quant � l'authentification de proxy, il s'agit d'une fonctionnalit� commune � Messaging Server et � Calendar Server.
Service d'adaptation SSO
Dans les versions ant�rieures de Portal Server, les canaux de portail appliquaient la connexion unique � l'aide d'un m�canisme qui leur �tait propre. Concr�tement, cela se traduisait par la mise en œuvre du service d'adaptation SSO d'Identity Server, qui devait �tre configur� pour chaque canal par l'interm�diaire de la console Identity Server. Ce m�canisme h�rit� de connexion unique via un canal de portail n'est n�cessaire qu'avec les canaux Portal Server.
Remarque
À l'heure actuelle, l'application du service d'adaptation SSO n'est possible qu'avec Portal Server. Il est important de ne pas confondre ce service avec la connexion unique � Identity Server 6.1.
Le service d'adaptation SSO permet aux utilisateurs finals de se servir d'applications, comme un fournisseur de Portal Server ou toute autre application Web, dans le but d'acc�der, par authentification, � divers serveurs de ressources, en se connectant une seule fois. Les serveurs de ressources auxquels l'acc�s est autoris� d�pendent des mises en œuvre de l'interface d'adaptation SSO disponibles sur le syst�me.
Portal Server propose actuellement des adaptateurs SSO pour les serveurs de ressources suivants : Address Book, Calendar et Mail.
Pr�sentation de l'authentification de proxy
L'authentification de proxy n�cessite un compte d'utilisateur proxy, qui joue le r�le d'agent approuv� pour les utilisateurs. Dans Messaging Server et Calendar Server, les utilisateurs proxy ont pour fonction de fournir une authentification des utilisateurs finals sans leur demander de mot de passe.
Les canaux actuels de Messaging Server et Calendar Server ont recours au service d'adaptation SSO pour assurer l'authentification de Portal Server aupr�s de leur serveur principal respectif. En enregistrant leurs nom et mot de passe d'utilisateur proxy dans les mod�les d'adaptateur SSO des canaux de messagerie et d'agenda de Portal Server, les utilisateurs n'ont pas besoin de saisir leur nom d'utilisateur et leur mot de passe.
Vous devez d�finir des utilisateurs proxy tant pour Messaging Server que pour Calendar Server pour que ce syst�me fonctionne.
Le sch�ma ci-dessous explique comment le service d'adaptation SSO utilise l'authentification de proxy avec Calendar Server.
Sch�ma 13-1 Services d'adaptation SSO utilisant l'authentification de proxy
Dans le sch�ma ci-dessus :
- L'utilisateur se connecte � Portal Server Desktop.
- Le canal d'agenda s'authentifie aupr�s de Calendar Server et l'utilisateur proxy s'authentifie pour le compte de l'utilisateur.
- L'utilisateur proxy r�cup�re pour l'utilisateur les informations relatives � ses agendas.
- Le canal d'agenda convertit ces informations au format HTML et les renvoie � Desktop.
La configuration de l'authentification de proxy et du service d'adaptation SSO n'est n�cessaire que pour les canaux de portail de messagerie et d'agenda. L'authentification de proxy et le service d'adaptation SSO ne remplacent en aucun cas le nouveau m�canisme de connexion unique � Identity Server 6.1. Il vous faut activer la connexion unique � Identity Server 6.1 � la fois dans Messaging Server et dans Calendar Server pour que la connexion unique fonctionne correctement sur l'ensemble du syst�me.
Le sch�ma suivant repr�sente la relation existant entre la connexion unique � Identity Server 6.1 et le m�canisme de connexion unique via un canal Portal Server.
Sch�ma 13-2 Connexion unique � Identity Server et m�canisme de connexion unique via un canal Portal Server
Dans le sch�ma ci-dessus :
- Les lignes en pointill� montrent comment, dans la connexion unique � Identity Server, la communication est �tablie entre l'utilisateur final, d'une part, et Identity Server, Portal Server, Calendar Server et Messaging Server, d'autre part. Les composants Identity Server, Calendar Server et Messaging Server communiquent �galement entre eux.
- La ligne continue indique comment, dans le syst�me d'authentification de proxy et d'adaptation SSO, la communication est �tablie entre les canaux de messagerie et d'agenda et leurs serveurs Messaging Server et Calendar Server principaux respectifs.
Le sch�ma suivant repr�sente un exemple d'utilisation du canal d'agenda.
Sch�ma 13-3 Communication en cas d'utilisation de la connexion unique � Identity Server et du canal d'agenda
Dans le sch�ma ci-dessus :
- L'utilisateur s'authentifie aupr�s d'Identity Server.
- Il acc�de � Portal Desktop � l'aide d'un cookie d'Identity Server.
- Le canal d'agenda demande le contenu de l'agenda.
- Le contenu de Desktop, notamment le canal d'agenda g�n�r�, est renvoy�.
- L'utilisateur acc�de � Calendar Server. Calendar Server v�rifie alors le cookie de session Identity Server aupr�s d'Identity Server, qui le valide et transmet les informations appropri�es concernant l'utilisateur pour le lancement d'une session d'agenda.
Configuration de l'authentification de proxy
Pour configurer l'authentification de proxy pour les canaux d'agenda et de messagerie, vous devez acc�der aux mod�les d'adaptateur SSO par le biais de la console Identity Server, ainsi qu'aux serveurs de communication Sun ONE. La configuration de l'authentification de proxy suppose :
- la modification des mod�les d'adaptateur SSO ;
- l'acc�s � Messaging Server pour activer l'authentification de proxy pour le canal de messagerie ;
- l'acc�s � Calendar Server pour activer l'authentification de proxy pour le canal d'agenda ;
- la v�rification du bon fonctionnement de l'authentification de proxy.
Pour modifier les mod�les d'adaptateur SSO
Pour obtenir des instructions sp�cifiques sur l'ex�cution de cette proc�dure, reportez-vous au chapitre 12, « Configuring the Communication Channels » (Configuration des canaux de communication) du manuel Sun ONE Portal Server 6.2 Administrator's Guide (http://docs.sun.com/doc/816-6748-10).
Pour configurer l'authentification de proxy pour Messaging Server et Calendar Server dans Portal Server
- Pour Messaging Server, acc�dez au r�pertoire base_svr_ms/sbin. Par exemple :
cd /opt/SUNWmsgsr/sbin
- Assurez-vous que le fichier store.admin comporte les administrateurs :
./configutil -o store.admins
- Saisissez les donn�es suivantes :
./configutil -o service.http.allowadminproxy -v yes
- Red�marrez Messaging Server.
- Pour Calendar Server, modifiez le fichier base_svr_cs/etc/opt/SUNWics5/config/ics.conf :
<Annulez le commentaire et modifiez le param�tre suivant :>
service.http.allowadminproxy="yes"
<V�rifiez que les param�tres ci-apr�s sont corrects :>
service.admin.calmaster.userid="calmaster"
service.admin.calmaster.cred="mot_de_passe"
- Red�marrez Calendar Server.
Pour v�rifier l'authentification de proxy
Cette proc�dure vous permet de vous assurer, � partir de Portal Server Desktop, que les canaux d'agenda et de messagerie fonctionnent comme il se doit :
- Connectez-vous en tant qu'utilisateur valide � Portal Desktop.
- Examinez les canaux d'agenda et de messagerie.
Ils doivent comporter les informations appropri�es.
- Personnalisez le canal d'agenda pour un meilleur affichage.
S�lectionnez l'option Modifier options d'affichage du canal et changez la vue de l'agenda, qui �tait Quotidienne, en Hebdomadaire.