Authentification à l'aide Microsoft Active Directory
De nombreuses installations utilisent Microsoft Active Directory en tant que composant principal pour la gestion de l'authentification d'utilisateur et des données utilisateur. Une partie de Microsoft Active Directory fournit un service LDAP (Lightweight Directory Access Protocol). WebSphere Application Server prend en charge LDAP et, par conséquent, WebSphere Application Server prend en charge Microsoft Active Directory.
Dans la mesure où Microsoft Active Directory est intégralement compatible LDAP, il présente les informations LDAP d'une manière qui peut rendre difficile l'obtention d'informations d'annuaire pour WebSphere Application Server.
WebSphere Application Server fonctionne d'une manière qui suppose qu'un seul annuaire LDAP contient toutes les informations nécessaires aux opérations. Avec les configurations complexes de Microsoft Active Directory, ce n'est pas le cas. Les installations WebSphere Application Server - Microsoft Active Directory doivent doivent relever des défis uniques en raison de la manière dont les données sont réparties sur les contrôleurs de domaines d'une forêt.
Les installations Microsoft Active Directory incorpore fréquemment l'utilisation d'une forêt. De cette façon, les questions de sécurité relatives au caractère unique des ID utilisateur, à l'obtention fiable d'informations de groupe d'utilisateurs et à la répartition de l'appartenance au groupe dans les forêts, deviennent importantes.
La figure met en évidence l'environnement d'une installation Microsoft Active Directory classique.

Cette figure représente deux forêts comportant plusieurs arborescences. Une arborescence peut contenir un ou plusieurs domaines , ces derniers étant une unité atomique unique qui constitue la base de l'environnement construit. Chaque domaine comporte les composants de domaine principal du nom distinctif, par exemple dc=acme, dc=com. Une forêt peut étendre la confiance à d'autres forêts (cette confiance est basée sur Kerberos.).
Configurations Microsoft Active Directory avec WebSphere Application Server
- Configuration simple
- Configuration classique
- Configurations moins classiques
- Configurations rares
Le configuration la plus simple consiste à en registre LDAP autonome représentant un domaine unique. Cette configuration représente la meilleure association entre WebSphere Application Server et Microsoft Active Directory. Dans cette configuration, Microsoft Active Directory est pris en charge via l'implémentation d'un registre d'utilisateurs LDAP autonome WebSphere Application Server. Vous pouvez également accéder à ce domaine Microsoft Active Directory unique via un registre des référentiels fédérés, lequel contient un référentiel LDAP unique.
Au-delà de la simple configuration Microsoft Active Directory de domaine unique, une configuration Microsoft Active Directory classique se compose d'une arborescence unique dans une forêt où chaque branche représente un domaine. L'exemple suivante illustre une telle configuration, comprenant une arborescence unique composée de quatre domaines (A, B, C, D) :


Les configurations WebSphere Application Server - Microsoft Active Directory moins classiques sont issues de fusions d'unités organisationnelles dans une plus grande entreprise. Alors qu'une seule forêt de domaines servait une seule fois l'entreprise, la fusion de plusieurs unités organisationnelles peut ajouter des arborescences à la forêt ou même ajouter plusieurs forêts uniques à l'environnement. Dans un tel environnement, la configuration LDAP WebSphere Application Server nécessite une conception plus attentive. Vous devez utiliser les registres de référentiels fédérés avec des référentiels LDAP distincts mappés à la partie supérieure de chaque arborescence de la forêt. De plus, si une arborescence Microsoft Active Directory existe sous le domaine de niveau supérieur, les référenceurs LDAP doivent être activés pour le registre LDAP. La forêt qui résulte d'une fusion peut ressembler à la figure suivante :

Les configurations rares se composent de domaines Microsoft Active Directory qui sont configurés pour associer une forêt utilisateur et une forêt de groupe. Les utilisateurs sont importés en tant qu'objets ForeignSecurityPrincipals dans la forêt de groupe. Les groupes contiennent le nom distinctif des objets ForeignSecurityPrincipals en tant que membres.
Dans cette forme de configuration, les recherches de groupe direct n'ont pas lieu. Les recherches sont reléguées à une requête de groupe statique au sein de plusieurs registres. Cette configuration nécessite un registre d'utilisateurs personnalisé personnalisé. Toutefois, les registres WebSphere Application Server ne prennent pas en charge ce type de configuration. Voir la figure ci-après.

Utilisation d'une forêt Microsoft Active Directory en tant que filtre d'utilisateurs LDAP
Il peut être complexe d'authentifier un utilisateur au sein de plusieurs référentiels ou d'un LDAP réparti, par exemple une configuration de forêt Microsoft Active Directory. Lors d'une recherche dans l'intégralité du registre, l'authentification échoue si plusieurs occurrences sont trouvées au au cours de la phase d'exécution, en raison de résultats ambigus. Dans un environnement comportant plusieurs domaines Microsoft Active Directory, l'administrateur WebSphere Application Server doit garder à l'esprit que l'ID unique par défaut dans Microsoft Active Directory est l'attribut sAMAccountName d'un utilisateur. Les ID utilisateur sont uniques dans un domaine unique, mais il n'est pas possible de garantir qu'un ID utilisateur donné soit unique ai sein d'une arborescence ou d'une forêt. Consultez la rubrique "Authentification des utilisateurs à l'aide de registres LDAP dans une forêt Microsoft Active Directory" pour plus de détails concernant la recherche d'ID utilisateur au sein d'une forêt Microsoft Active Directory à l'aide de l'attribut sAMAccountName d'un utilisateur.
