Passerelle de registre d'utilisateurs pour les référentiels fédérés
La passerelle de registre d'utilisateurs est un adaptateur en lecture seule qui fournit une interface entre des référentiels fédérés et une implémentation sous-jacente de registre d'utilisateurs qui peut être une implémentation d'un registre d'utilisateurs personnalisé ou d'un registre d'utilisateurs du système d'exploitation local.
La passerelle de registre d'utilisateurs permet aux applications WebSphere Application Server d'utiliser votre implémentation de registre d'utilisateurs. Elle fonctionne avec n'importe quel registre d'utilisateurs qui utilise l'interface com.ibm.websphere.security.UserRegistry, sans s'occuper du détail de son implémentation. Cette capacité rend la passerelle polyvalente et lui permet de se connecter à divers registres et de les utiliser.
La passerelle de registre d'utilisateurs permet d'accéder aux mêmes données de référentiel sans implémentation spécifique à une plateforme. De ce fait, il est inutile de disposer d'une passerelle de registre d'utilisateurs pour chaque système d'exploitation utilisé.
Vous pouvez fédérer le registre d'utilisateurs du système d'exploitation local, un registre d'utilisateurs personnalisé, ou les deux, et les configurer en tant que référentiel fédéré. La passerelle de registre d'utilisateurs gère les requêtes liées aux registres d'utilisateurs venant des référentiels fédérés, exécute les appels appropriés à l'implémentation sous-jacente du registre d'utilisateurs, et renvoie les données qui sont mises en forme selon les spécifications des référentiels fédérés.
Il en découle que vous devez configurer votre registre d'utilisateurs dans des référentiels fédérés pour pouvoir utiliser la passerelle de registre d'utilisateurs. Cette configuration peut notamment mapper les propriétés du registre d'utilisateurs sous-jacent à celles du référentiel fédéré. Le cas échéant, vous pouvez également configurer toutes les informations spécifiques à un registre d'utilisateur donné. Pour plus d'informations sur la configuration de la passerelle de registre d'utilisateurs, voir la rubrique Configuration de la passerelle de registre d'utilisateurs pour les référentiels fédérés avec les scripts de wsadmin.
La figure suivante décrit la différence entre une configuration de registre d'utilisateurs dans un référentiel fédéré avec et sans la passerelle de registre d'utilisateurs.


Comme le montre la figure précédente, vous pouvez configurer plusieurs registres d'utilisateurs dans des référentiels fédérés avec le même adaptateur, c'es-à-dire avec la passerelle de registre d'utilisateurs. Par exemple, vous pouvez configurer un registre d'utilisateurs du système d'exploitation local et un ou plusieurs registres d'utilisateurs personnalisés.
Limitations
- Vous pouvez utiliser la passerelle de registre d'utilisateurs uniquement pour les opérations en lecture seule, par exemple l'authentification et les recherches. Vous ne pouvez pas exécuter d'opérations en écriture, comme créer, modifier ou supprimer des utilisateurs et des groupes. Si vous tentez une opération d'écriture, un message d'exception vous informe que l'opération demandée n'est pas prise en charge par la passerelle. Cette limitation provient du fait que la passerelle de registre d'utilisateurs ne peut pas accéder directement au référentiel. Au lieu de cela, la passerelle utilise une implémentation sous-jacente du registre d'utilisateurs qui est en lecture seule et elle ne peut donc pas servir les requêtes concernant certaines propriétés existant dans les référentiels fédérés.
- La passerelle de registre d'utilisateurs ne prend pas en charge les registres d'utilisateurs LDAP (Lightweight Directory Access Protocol) autonomes. Les référentiels LDAP sont pris en charge sous la forme d'un adaptateur de référentiels fédérés avec un accès en lecture et écriture.
- Certaines des propriétés des objets de données de contrôle ne sont pas pertinentes pour la passerelle de registre d'utilisateurs car elles ne s'appliquent pas au niveau du référentiel sous-jacent.
- Les propriétés ignorées pour les objets de données GroupMembershipControl et GroupMemberControl sont searchBases, timeLimit, treeView, expression et level.
- Les propriétés ignorées pour les objets de données SearchControl sont searchBases et timeLimit. La partie de l'expression qui porte sur les propriétés, comme l'UID ou l'adresse mail, est ignorée car vous ne pouvez rechercher des entités dans le registre d'utilisateurs de WebSphere Application Server qu'avec des noms sécurisés. La syntaxe de l'expression est analysée afin d'obtenir le type et le modèle de l'entité sur lesquels la recherche doit porter.
Registres d'utilisateurs pris en charge
- Registre d'utilisateurs du système d'exploitation local
- Registre d'utilisateurs personnalisé