Utilisation de LDAP ou Active Directory pour l'authentification - spectrum_platform - 23 - 23.1

Guide d'administration Spectrum

Product type
Logiciels
Portfolio
Integrate
Locate
Verify
Product family
Product
Spectrum > Spectrum Platform
Version
23.1
Language
Français
Product name
Spectrum Technology Platform
Title
Guide d'administration Spectrum
Topic type
Conseils
Administration
Aperçu
Référence
Comment faire
First publish date
2007
ft:lastEdition
2023-10-12
ft:lastPublication
2023-10-12T07:14:51.523252

Spectrum Technology Platform peut être configuré pour utiliser un serveur LDAP ou Active Directory pour l'authentification.

Lorsqu'un utilisateur se connecte à Spectrum Technology Platform, ses informations d'identification sont vérifiées à l'aide de LDAP ou d'AD. Le système vérifie alors s'il existe un utilisateur Spectrum Technology Platform portant le même nom. S'il existe, l'utilisateur est connecté. S'il n'existe pas, un compte d'utilisateur Spectrum Technology Platform est automatiquement créé pour l'utilisateur et il reçoit le rôle user.

Voici comment fonctionne le processus :



Avant de configurer Spectrum Technology Platform pour qu'il puisse utiliser un service de répertoires pour l'authentification, assurez-vous que votre service de répertoires répond aux exigences suivantes :

  • Pour LDAP; le serveur de répertoires doit être conforme à LDAP Version 3.
  • Il n'existe aucune exigence spécifique pour le serveur Active Directory.
Remarque : Nous vous conseillons de contacter le Support technique ou les Services professionnels Precisely qui vous guideront tout au long de cette procédure.
Remarque : Lors de la configuration de Spectrum avec LDAP, STS ou SSO_STS, si la propriété est spectrum.security.account.createNonExisting=true (par défaut), les utilisateurs Active Directory sont créés automatiquement dans Spectrum Technology Platform après leur première connexion à Spectrum. Si vous désactivez la propriété spectrum.security.account.createNonExisting=false, les utilisateurs LDAP/Active Directory ne seront pas authentifiés sur Spectrum Technology Platform tant que l'administrateur n'aura pas créé manuellement des utilisateurs.
  1. Si des utilisateurs existants sont configurés dans Spectrum Management Console et que vous souhaitez les utiliser après avoir activé l'authentification LDAP ou Active Directory, créez ces utilisateurs dans votre système LDAP ou Active Directory. Assurez-vous d'utiliser le mêmes nom d'utilisateur comme dans Spectrum Technology Platform.
    Remarque : Vous n'avez pas besoin de créer l'utilisateur « admin » dans LDAP ou Active Directory dans la mesure où l'utilisateur continue à utiliser Spectrum Technology Platform pour l'authentification, une fois que vous avez activé LDAP ou Active Directory.
  2. Arrêtez le serveur Spectrum Technology Platform.
  3. Activer l'authentification LDAP ou Active Directory :
    1. Ouvrez ce fichier de configuration dans un éditeur de texte :
      server\conf\spectrum-container.properties
    2. Réglez la propriété spectrum.security.authentication.basic.authenticator sur LDAP :
      spectrum.security.authentication.basic.authenticator=LDAP

      Le paramètre LDAP est utilisé pour activer les Active Directory ainsi que LDAP.

    3. Enregistrez et fermez le fichier .
  4. Configurer les propriétés de connexion :
    1. Ouvrez ce fichier de configuration dans un éditeur de texte :
      server\conf\spring\security\spectrum-config-ldap.properties
    2. Modifiez ces propriétés.
      spectrum.ldap.url
      L'URL, y compris le port, du serveur LDAP ou Active Directory. Par exemple : spectrum.ldap.url=ldap://ldapserver.example.com:389/
      spectrum.ldap.dn.format
      Format à utiliser pour rechercher les comptes d'utilisateur dans LDAP ou Active Directory. Utilisez la variable %s pour le nom d'utilisateur. Par exemple,
      LDAP :
      spectrum.ldap.dn.format=uid=%s,ou=users,dc=example,dc=com
      Active Directory :
      spectrum.ldap.dn.format=%s@example.com
      Remarque : Si vous devez configurer plusieurs domaines LDAP, spécifiez ces domaines séparés par des virgules, chaque valeur de domaine étant placée entre guillemets simples. Cela ne s'applique pas aux configurations à domaine unique. Par exemple :
      spectrum.ldap.dn.format='CN=%s,CN=Users,dc=spectest,dc=pvt',' CN=%s,ou=Services,dc=spectest,dc=pvt','CN=%s,ou=managers,dc=spectest,dc=pvt'
      spectrum.ldap.dn.base
      Le nom unique (dn) pour rechercher des comptes d'utilisateur dans LDAP ou Active Directory. Par exemple,
      LDAP :
      spectrum.ldap.dn.base=ou=users,dc=example,dc=com
      Active Directory :
      spectrum.ldap.dn.base=cn=Users,dc=example,dc=com
      spectrum.ldap.search.filter
      Un filtre de recherche à utiliser pour rechercher des attributs tels que les rôles. Le filtre de recherche peut contenir ces variables :
      • {user}est le nom d'utilisateur qui se connecte à Spectrum Technology Platform
      • {dn} est le nom unique spécifié dans spectrum.ldap.dn.base.
      Par exemple, pour LDAP :
      spectrum.ldap.search.filter=uid={user}
      Et pour Active Directory :
      spectrum.ldap.search.filter=userPrincipalName={dn}
      spectrum.ldap.attribute.roles
      Facultatif. Spécifie l'attribut LDAP ou Active Directory qui contienne le nom de la Spectrum Technology Platform rôles pour l'utilisateur. Le nom de rôle que vous indiquez dans l'attribut LDAP ou Active Directory doit correspondre au nom du rôle défini dans Spectrum Technology Platform.
      Si cet attribut contient un rôle nommé designer, le rôle designer est accordé à l'utilisateur.
      Vous ne pouvez spécifier qu'un seul attribut, mais l’attribut peut contenir plusieurs rôles. Pour spécifier plusieurs rôles à l'intérieur d'un attribut, séparez chacun par une virgule. Vous pouvez également spécifier un attribut de plusieurs valeurs, chaque instance de l'attribut contenant un rôle différent. Seuls les rôles indiqués dans cet attribut sont utilisés dans Spectrum Technology Platform. Aucun autre attribut LDAP ou Active Directory n’aura d'impact sur les rôles Spectrum Technology Platform.
      Si l'utilisateur dispose de rôles qui lui sont affectés dans Spectrum Technology Platform, les autorisations de l'utilisateur sont l'union de rôles à partir de LDAP ou Active Directory et les rôles à partir de Spectrum Technology Platform.
      Par exemple, pour appliquer les rôles définis dans l’attribut spectrumroles, vous devez indiquer :
      spectrum.ldap.attribute.roles=spectrumroles
      Remarque : Si un utilisateur se connecte pour la première fois et qu'il ne possède pas de compte d'utilisateur Spectrum Technology Platform, un compte lui est automatiquement créé avec le rôle user. Les autorisations effectives de l’utilisateur sont l’union des autorisations du rôle user et des rôles spécifiés dans les attributs répertoriés dans la propriété spectrum.ldap.attribute.roles.
      Remarque : Lorsque vous affichez les rôles de l’utilisateur dans Spectrum Management Console, vous ne voyez pas les rôles affectés à l’utilisateur par la propriété spectrum.ldap.attribute.roles.
      spectrum.ldap.pool.min
      Taille minimale du pool de connexion pour les connexions au serveur LDAP ou Active Directory.
      spectrum.ldap.pool.max
      Le nombre maximal de connexions simultanées au serveur LDAP ou Active Directory.
      spectrum.ldap.timeout.connect
      Indique le délai d'attente pour établir une connexion au serveur LDAP ou Active Directory, en millisecondes. La valeur par défaut est de 1000 secondes.
      spectrum.ldap.timeout.response
      Indique combien de temps à attendre une réponse du serveur LDAP ou Active Directory une fois la connexion est établie, en millisecondes. La valeur par défaut est de 5000 secondes.
      spectrum.ldap.retry.count
      The number of times the Spectrum Technology Platform server will try connecting to the LDAP or Active Directory server if the initial connection attempt fails. Set this to 0 if you want to allow only one connection attempt.
      Conseil : If you cluster your LDAP or Active Directory servers, we recommend that you set this value to 1 or more to allow the LDAP or Active Directory load balancer to redirect the connection request to a different server if the one that is initially tried is unavailable.
      spectrum.ldap.retry.wait
      Nombre de millisecondes d’attente entre les tentatives de connexion.
      spectrum.ldap.retry.backoff
      Facteur de multiplication à utiliser pour augmenter le temps d’attente après chaque échec de nouvelle tentative. Par exemple,
      spectrum.ldap.timeout.connect=1000 ... spectrum.ldap.retry.count=5 spectrum.ldap.retry.wait=500 spectrum.ldap.backoff=2
      Dans cet exemple, l’attente de la tentative de connexion initiale est de 1 000 millisecondes, et le temps d’attente pour chacune des cinq nouvelles tentatives est augmenté d'un facteur de deux, résultant en ces temps d'attente pour chaque nouvelle tentative :
      Retry attempt 1: 500 milliseconds Retry attempt 2: 1,000 milliseconds Retry attempt 3: 2,000 milliseconds Retry attempt 4: 4,000 milliseconds Retry attempt 5: 8,000 milliseconds
    3. Enregistrez et fermez le fichier de propriétés.
  5. Démarrez le serveur Spectrum Technology Platform.

Si vous exécutez Spectrum Technology Platform dans un cluster, vous devez modifier le fichier spectrum-container.properties et le fichier spectrum-config-ldap.properties sur chacun des serveurs du cluster. Arrêtez le serveur avant de modifier le fichier, puis démarrer le serveur une fois que vous avez terminé de modifier le fichier. Si vous avez mappé une valeur d’attribut LDAP à un rôle, ce mapping sera répliqué à tous les nœuds du cluster. Vous n'avez donc pas besoin de répéter la procédure de mapping dans la console Spectrum JMX.