Prise en charge des domaines de sécurité multiple

Dans virtual member manager version 8.0, vous pouvez configurer une instance distincte de virtual member manager pour chaque domaine de sécurité d'un environnement à plusieurs domaines de sécurité.

Lorsque vous créez un domaine de sécurité dans WebSphere Application Server, vous pouvez configurer le registre d'utilisateurs de virtual member manager au niveau du domaine. Dans les versions antérieures à la version 8.0, vous ne pouvez avoir qu'une seule instance de virtual member manager et la configurer uniquement au niveau global (domaine admin). Pour plus d'informations, voir Domaines de sécurité multiples dans le centre de documentation WebSphere Application Server.

Pour prendre en charge plusieurs instances de virtual member manager, les informations sur le domaine de sécurité WebSphere sont utilisées pour charger la configuration applicable et le schéma du modèle de données. Le nouveau domaine de sécurité est configuré avec la configuration virtual member manager par défaut. La configuration de virtual member manager est stockée et gérée de manière indépendante pour chaque domaine et n'est pas partagée avec le domaine admin ou global. Seuls les utilisateurs possédant le rôle d'administrateur dans un domaine particulier peuvent configurer virtual member manager au niveau de ce domaine correspondant.

La prise en charge de plusieurs domaines de sécurité pour virtual member manager inclut les aspects décrit ci-après.

Extension du schéma

Vous pouvez étendre le schéma défini de manière globale du modèle de données avec un schéma spécifique au domaine. Par conséquent, dans un environnement à plusieurs domaines de sécurité, vous pouvez avoir un modèle de données de profil différent pour chaque domaine. Vous pouvez gérer les données de profil sans les problèmes de conflit ou d'exécution des domaines de sécurité différents, car des instances distinctes de virtual member manager sont créées et des chemins de fichier de schéma ainsi qu'une configuration spécifiques à un domaine sont utilisés lors de l'initialisation.

Eviter les incidents : Les domaines d'application qui sont définis pour utiliser le schéma global partagent le même schéma du domaine admin. Ainsi, si vous étendez le schéma d'une application dans un domaine, vous devez étudier comment cela peut avoir une incidence sur les applications d'autres domaines car elles sont également liées par le même schéma. Par exemple, l'ajout d'une propriété obligatoire à une application peut entraîner l'échec des autres applications.

Pour plus d'informations, reportez-vous à la rubrique Processus de chargement du schéma et extension de schéma dans un environnement à plusieurs domaines de sécurité et à la commande setIdMgrUseGlobalSchemaForModel, dans la rubrique Groupe de commandes IdMgrConfig pour l'objet AdminTask.

Si votre application appelle les API de virtual member manager en mode local, vous devez définir la propriété système suivante sur la machine virtuelle Java du client :
org.eclipse.emf.ecore.EPackage.Registry.INSTANCE=com.ibm.ws.wim.util.VMMEMFGlobalDelegatorRegistry
Pour plus d'informations, lisez la section Chargement des services virtual member manager et des autres méthodes communes de la rubrique Prérequis pour la programmation.

Pour plus d'informations sur l'identification et la résolution des problèmes liés à EMF, consultez la section relative à l'activation de la trace pour les classes EMF, dans la rubrique Journaux et trace et à la résolution du problème Corruption du registre de schéma ou erreurs de violation de schéma.

Registres d'utilisateurs

Un registre de fichiers spécifique à un domaine est créé pour chaque domaine de sécurité, si le référentiel de fichiers est configuré pour ce domaine.

Vous pouvez créer les référentiels de base de données, d'extension de propriété et de mappage des entrées dans un espace de nom spécifié pour autoriser plusieurs référentiels de ce type dans une même instance de base de données. Si aucun espace de nom n'est spécifié, le référentiel est configuré dans l'espace de nom par défaut, qui correspond généralement à celui de l'utilisateur de la base de données en cours.

Eviter les incidents : N'utilisez pas le même espace de nom pour les référentiels de base de données, d'extension de propriété ou de mappage des entrées dans des domaines différents car les données peuvent devenir incohérentes.

Pour plus d'informations, reportez-vous aux rubriques Configuration d'un référentiel de mappage d'entrée, d'un référentiel d'extension de propriété ou d'un référentiel de base de données de registre personnalisé à l'aide des commandes wsadmin, Groupe de commandes IdMgrRepositoryConfig pour l'objet AdminTask et Définition manuelle du référentiel d'extension de propriété pour les référentiels fédérés, dans le centre de documentation de WebSphere Application Server.

Configuration spécifique au domaine et gestion des utilisateurs et des groupes

Les commandes wsadmin offrent un paramètre securityDomainName facultatif, que vous pouvez utiliser lors de la configuration de virtual member manager et de la gestion des utilisateurs et des groupes dans un domaine spécifique. Si ce paramètre n'est pas spécifié, le domaine d'administration est utilisé par défaut.

Déploiement de virtual member manager via l'EJB

Dans un environnement de développement d'applications, vous pouvez appeler les API de virtual member manager via l'EJB pour un domaine spécifique. Virtual member manager offre des API d'EJB basées sur SDO qui permettent de gérer les entités virtual member manager. Ces interfaces d'EJB sont implémentées par un EJB de session sans état qui délègue les appels au fournisseur de services de virtual member manager.

Si un accès éloigné est requis pour des domaines spécifiques, vous devez déployer la même implémentation d'EJB de virtual member manager avec des descripteurs de déploiement différents pour chaque instance virtual member manager spécifique à un domaine, telle qu'une application utilisateur. Effectuez les opérations décrites dans la rubrique Installation de virtual member manager.

Limitation : Si un EJB de virtual member manager est déployé sur un noeud géré, les opérations de mise à jour du registre de fichiers, du schéma ou de la configuration échouent.

Migration et compatibilité avec les versions antérieures

Aucune mise à jour n'est requise pour exécuter vos applications virtual member manager existantes dans un environnement à plusieurs domaines de sécurité.

WebSphere Application Server prend en charge la mise à niveau des versions 6.1 et 7.0 vers la version 8.0, tout comme virtual member manager. Lors de la mise à niveau, la configuration existante et l'extension du modèle de données sont conservées. Dans un environnement à plusieurs domaines de sécurité, la configuration est prise en charge par virtual member manager comme registre d'utilisateurs pour les domaines existants créés dans WebSphere Application Server, version 7.0. Lors de la mise à niveau, le nouveau schéma, le schéma mis à jour et les fichiers de configuration sont copiés dans leur emplacement respectif.

Fichiers de configuration de Virtual member manager dans un environnement à plusieurs domaines de sécurité

Lorsque vous créez un domaine de sécurité dans WebSphere Application Server 8.0, tous les fichiers de configuration de virtual member manager sont créés pour ce domaine, que virtual member manager soit configuré ou non comme registre d'utilisateurs actif.

WebSphere Application Server fournit une option permettant de créer un domaine en copiant un domaine sélectionné à partir d'une collection de domaines. En fonction des options que vous spécifiez lorsque vous créez un domaine, les fichiers de virtual member manager sont copiés à partir du domaine sélectionné, du domaine de sécurité admin ou de l'emplacement de modèle de profil par défaut. Le référentiel de fichiers peut également être copié s'il existe dans le domaine source. Pour plus d'informations, reportez-vous aux rubriques relatives à la création de domaines de sécurité multiple, la configuration de domaines de sécurité multiple et à la configuration de domaines de sécurité multiple à l'aide de scripts dans le centre de documentation de WebSphere Application Server.

Les fichiers de virtual member manager spécifiques au domaine se trouvent sous le répertoire racine_serveur_app/profiles/$ProfileName/config/waspolicies/$PolicyName/securitydomains/$DomainName.

Les fichiers relatifs au schéma de modèle de données et à la configuration de virtual member manager sont répertoriés dans le tableau ci-après.

Les conventions de répertoire suivantes sont utilisées dans le tableau :

Tableau 1. Fichiers de configuration de Virtual member manager
Description Niveau Répertoire Nom de fichier
Fichier du schéma de configuration de Virtual member manager Une copie global pour l'ensemble du système racine_serveur_app/etc/wim/schema/config wimconfig.xsd
Fichier de configuration de Virtual member manager Niveau global racine_cellule_vmm/config wimconfig.xml
Niveau domaine racine_domaine_vmm/config
Fichiers Argus Niveau global racine_cellule_vmm/config/authz  
Niveau domaine racine_domaine_vmm/config/authz
Registre de fichiers contenant des utilisateurs et des groupes pour le référentiel de fichiers prêt à l'emploi Niveau global racine_profil/config/cells/$CellName fileRegistry.xml
Remarque : Le fichier fileRegistry.xml n'est copié pour un nouveau domaine que si le domaine source contient ce fichier.
  Niveau domaine racine_profil/config/waspolicies/$PolicyName/securitydomains/$DomainName
Fichiers du schéma de modèle de données prêt à l'emploi de Virtual member manager. Une copie global pour l'ensemble du système racine_serveur_app/etc/wim/schema/model
Remarque : Les mêmes fichiers sont également copiés dans racine_cellule_vmm/model car ils sont requis à des fins de migration.

wimdatagraph.xsd
wimdomain.xsd
wimschema.xsd
xml.xsd

Fichiers d'extensions de modèle de donnés de Virtual member manager Niveau global racine_cellule_vmm/model

wimxmlextension.xml
custom xsd

Niveau domaine racine_domaine_vmm/model

wimxmlextension.xml
custom xsd

Configuration de virtual member manager dans un environnement à plusieurs domaines de sécurité

Pour configurer virtual member manager dans un environnement à plusieurs domaines de sécurité, suivez les étapes décrites ci-après.

  1. Créez un domaine de sécurité à l'aide des étapes décrites dans la rubrique relative à la création de domaines de sécurité multiple ou à la copie de domaines de sécurité multiple.
  2. Utilisez les commandes configureAdminWIMUserRegistry, configureAppWIMUserRegistry ou unconfigureUserRegistry pour configurer virtual member manager comme registre d'utilisateurs du domaine. Lors de la configuration, vous pouvez également indiquer un nouveau nom de domaine pour le domaine. Ce nom de domaine est défini dans le fichier wimconfig.xml spécifique au domaine et est propre à une instance virtual member manager.
    Exemple :
    $AdminTask
    configureAppWIMUserRegistry {–securityDomainName domaineTest –realmName
    domaineTest}
  3. Si le référentiel de fichiers est configuré et que le fichier fileRegistry.xml n'existe pas, créez le fichier fileRegistry.xml avec un utilisateur et spécifiez le nom de domaine à l'aide du paramètre securityDomainName. Si le fichier fileRegistry.xml existe, cette étape ajoute simplement l'utilisateur au registre.
    $AdminTask addFileRegistryAccount {-userId nom_utilisateur -password
    mon_mot_de_passe –securityDomainName
    domaineTest}
  4. Sauvegardez vos modifications de configuration.
    $AdminConfig save


Conditions d'utilisation | Commentaires