Configurar servicios de directorio (LDAP) con HCL Commerce

HCL Commerce se puede configurar para utilizar uno o varios servidores LDAP como repositorio de usuarios maestro en vez de la base de datos de HCL Commerce. Esto se suele hacer cuando se necesita que varias aplicaciones compartan un depósito de usuarios común.

En esta configuración, los datos de usuario y organización en la base de datos de HCL Commerce se sincroniza con los datos en el servidor LDAP. Cuando se realiza una búsqueda, los datos del servidor LDAP se consideran la copia maestra; por consiguiente se utilizarán para actualizar la base de datos de HCL Commerce si los datos LDAP son más recientes que la hora de la última sincronización. Cuando se realiza una operación de creación o actualización, la información se propagará a la base de datos y el servidor LDAP. No obstante, una contraseña de usuario sólo se almacena en el servidor LDAP.

Si actualmente tiene usuarios y contraseñas en la base de datos de HCL Commerce y más adelante decide configurar el sistema con un servidor LDAP, los usuarios individuales y sus contraseñas se migran al servidor LDAP durante el inicio de sesión de HCL Commerce. Las contraseñas de usuario no pueden exportarse masivamente al servidor LDAP porque son contraseñas hash unidireccionales en la base de datos; por consiguiente no puede recuperar la contraseña de texto sin formato. Durante el inicio de sesión de HCL Commerce, se efectúa una comprobación para ver si el usuario efectúa la salida en el servidor LDAP. Si no es así, se efectúa una comprobación para ver si el usuario está en la base de datos de HCL Commerce. Si se encuentra allí, la autenticación se realiza en la contraseña en la base de datos de HCL Commerce. Si es satisfactorio, el perfil de usuario junto con la contraseña se transmiten al servidor LDAP. (La lista de atributos que están sincronizados con LDAP se especifican mediante ldapentry.xml). En intentos posteriores de inicios de sesión de HCL Commerce para dicho usuario, puesto que el perfil de usuario existe ahora en el servidor LDAP, la autenticación sólo tendrá lugar en la contraseña del servidor LDAP.

Es recomendable que la estructura de la organización y los nombres distinguidos del servidor LDAP coincidan con lo que hay en la base de datos de HCL Commerce. Si los DN no coinciden, debe proporcionar una implementación de LDAPIntegrationCmd.java que maneje la correlación entre los DN LDAP y los DN de la base de datos de HCL Commerce, implementando los métodos getCommerceDN() y getLDAPDN(). HCL Commerce requiere que la organización raíz (-2001) sea el predecesor común de todas las demás organizaciones y la organización predeterminada (-2000) exista directamente bajo la organización raíz.

Tenga en cuenta las siguientes consideraciones acerca de la Organización predeterminada:
  • OrgAdminConsole: Esta herramienta para gestionar usuarios de empresa y administradores no hace una lista de los usuarios de la organización -2000 (Org. predeterminada) o permite crear usuarios bajo la Org. predeterminada, ya que se presupone que es donde se guardan los compradores B2C (y los usuarios invitados). Se puede utilizar Accelerator para gestionar los compradores B2C.
  • Control de acceso: De forma predeterminada, la Org. predeterminada (-2000) se suscribe a GuestShopperManagementPolicyGroup lo que permite que algunos administradores (independientemente del lugar donde desempeñen su rol) gestionen los usuarios bajo la Org. predeterminada. Los usuarios invitados son implícitamente propiedad de la Organización predeterminada (-2000), cuando se realiza una comprobación de control de acceso en este tipo de usuario, puesto que los usuarios invitados no existen en la tabla MBRREL.
  • MemberRegistrationAttributes.xml: De forma predeterminada, tiene configuraciones que suponen el DN de la Org. predeterminada.
  • Mandato UserRegistrationAdd: Si no se especifica ningún parentMember (por ejemplo, el escenario B2C), el usuario se colocará bajo la organización predeterminada.

Para utilizar HCL Commerce con LDAP, la seguridad administrativa de WebSphere Application Server debe estar habilitada y configurada para utilizar Repositorios federados. La característica de Repositorios federados se implementa utilizando otro componente de WebSphere Application Server denominado Virtual Member Manager (VMM). HCL Commerce utiliza com.ibm.commerce.member.syncbeans.VMMProxy para llamar a las API para interactuar con el servidor LDAP.