WebSphere Enterprise Service Bus, Version 6.2.0 Systèmes d'exploitation: AIX, HP-UX, i5/OS, Linux, Solaris, Windows


Sécurisation d'un environnement de déploiement de WebSphere ESB

La sécurité de votre environnement WebSphere ESB est gérée dans la console d'administration. Un utilisateur disposant de droits d'accès appropriés peut activer ou désactiver toutes les fonctions de sécurité des applications depuis la console d'administration. Il est donc capital que vous sécurisiez l'environnement avant de déployer des applications sécurisées.

Avant de commencer

Vous devez avoir installé WebSphere ESB et vérifié l'installation avant de commencer à effectuer les opérations ci-dessous.

Pourquoi et quand exécuter cette tâche

Votre environnement WebSphere ESB est défini dans un profil. Ouvrez la console d'administration pour le profil que vous souhaitez sécuriser. Connectez-vous à la console en utilisant n'importe quel ID utilisateur ; dans la mesure où le profil est sécurisé, tous les noms d'utilisateur seront acceptés.

Les étapes suivantes constituent un plan des tâches à effectuer pour activer la sécurité. Dans les rubriques sui suivent, vous trouverez plus de précisions sur ces tâches.

Procédure
  1. S'assurer que la sécurité d'administration est activée. Activation de la sécurité.
  2. S'assurer que la sécurité des applications est activée. Sécurisation des applications dans WebSphere ESB.
  3. Ajouter des utilisateurs ou des groupes au rôle d'administrateur. Vous pouvez accorder des droits d'administration à des utilisateurs individuels ou à un groupe d'utilisateurs en suivant respectivement Rôles de l'utilisateur administratif ou Rôles du groupe administratif.
  4. Sélectionner le référentiel de comptes utilisateur que vous voulez utiliser.

    Le tableau suivant décrit les différents registres d'utilisateurs et les opérations à effectuer pour le sélectionner et le configurer.

    Registre d'utilisateurs Action
    Référentiels fédérés Indiquez ce paramètre pour gérer des profils dans plusieurs référentiels sous un domaine unique. Le domaine peut se composer d'identités dans :
    • le référentiel basé sur fichiers qui est intégré au système,
    • un ou plusieurs référentiels externes,
    • Le référentiel de fichiers intégré et un ou plusieurs référentiels externes
    Remarque : Seul un utilisateur disposant de droits d'administration peut visualiser la configuration des référentiels fédérés.
    Pour plus d'informations, voir Gestion du domaine dans une configuration de référentiel fédéré.
    Système d'exploitation local Registre d'utilisateurs par défaut. Pour plus de détails sur la configuration du registre de comptes utilisateur, voir Configuration du registre de comptes utilisateur autonome personnalisé ou sur système d'exploitation local.
    Registre LDAP autonome Suivez les instructions de la section Configuration du protocole LDAP en tant que registre d'utilisateurs pour configurer le protocole LDAP comme registre d'utilisateurs.
    Registre personnalisé autonome Pour plus de détails sur la configuration du registre de comptes utilisateur, voir Configuration du registre de comptes utilisateur autonome personnalisé ou sur système d'exploitation local.
  5. S'assurer d'avoir défini le registre sélectionné comme étant votre registre courant.

    Si vous ne l'avez pas déjà fait, cliquez sur Défini comme registre en vigueur en bas de la page Administration, applications et infrastructure sécurisées.

  6. S'assurer d'avoir appliqué les modifications après avoir sélectionné le registre d'utilisateurs.

    Si vous ne l'avez pas déjà fait, cliquez sur Appliquer en bas de la page Administration, applications et infrastructure sécurisées.

  7. Accéder au panneau Sécurité Business Integration. Cliquez sur Sécurité, puis sur Sécurité Business Integration.
  8. Fournir les identités utilisateur appropriées pour les alias d'authentification répertoriés. Les données d'identification que vous indiquez doivent exister dans le référentiel de comptes utilisateur que vous utilisez. Il est important pour la sécurité du système de choisir des identités utilisateur appropriées comme alias d'authentification.
  9. Dans le même panneau, vous pouvez configurer la sécurité pour Business Process Choreographer.
    Définissez les mappages de rôles utilisateur de Business Process Choreographer pour les gestionnaires Business Flow Manager et Human Task Manager :
    • Administrateur : Noms d'utilisateur et/ou noms de groupe liés au rôle d'administrateur de flux métier et de tâches utilisateur. Les utilisateurs qui se voient affecter ce rôle disposent de tous les privilèges.
    • Superviseur : Noms d'utilisateur et/ou noms de groupe liés au rôle de contrôle des flux métier et des tâches utilisateur. Les utilisateurs associés à ce rôle peuvent visualiser les propriétés de tous les processus métier et objets de tâches.
    Les alias d'authentification de Business Process Choreographer peuvent être configurés pour chaque cible de déploiement sur laquelle Business Process Choreographer a été installé. Les alias d'authentification répertoriés sont les suivants :
    • Authentification d'API JMS : Authentification permettant au bean géré par message du gestionnaire de flux métier de traiter les appels asynchrones émis par les interfaces de programme d'application.
    • Authentification d'utilisateur d'escalade : Authentification permettant au bean géré par message du gestionnaire de tâches utilisateur de traiter les appels asynchrones émis par les interfaces de programme d'application.
  10. Validez ces modifications.

    Cliquez sur le bouton Valider dans la partie inférieure du panneau.

  11. Enregistrez les modifications dans la configuration locale.

    Cliquez sur Sauvegarder dans la fenêtre de message.

  12. Assurez-vous que les informations de sécurité sont transmises aux noeuds de la cellule.

    Développez Administration système dans la console d'administration, puis cliquez sur Noeuds. Cliquez sur Resynchronisation complète.

  13. Si nécessaire, arrêtez et redémarrez le serveur.

    Si le serveur doit être redémarré, un message s'affiche dans la console d'administration.

Résultats

A votre prochaine connexion à la console d'administration, vous devrez fournir un nom d'utilisateur et un mot de passe valides.

Que faire ensuite

Chaque profil créé doit être sécurisé de cette manière. L'identité de l'administrateur système a peut-être été utilisée à plusieurs emplacements au cours de l'installation et de la configuration de l'environnement. Il est conseillé de remplacer cette identité par des justificatifs utilisateur appropriés issus du référentiel de comptes utilisateur pour toutes les fonctions à l'exception des fonctions principales de sécurité. Le panneau Sécurité Business Integration de la console d'administration permet de gérer ces identités et alias.

task Rubrique relative à une tâche

Conditions d'utilisation | Commentaires en retour


Icône d'horodatage Dernière mise à jour: 07 juillet 2010


http://publib.boulder.ibm.com/infocenter/dmndhelp/v6r2mx/topic//com.ibm.websphere.wesb620.doc/doc/tsec_adminroadmapnd.html
Copyright IBM Corporation 2005, 2010. All Rights Reserved.
Ce centre d'information est mis en service par la technologie Eclipse (http://www.eclipse.org).