Mise en cache des modifications de mot de passe Internet pour la connexion unique
Quand les utilisateurs Web modifient leur mot de passe Internet, le serveur HCL Domino® HTTP mémorise le nouveau mot de passe Internet dans son cache. La mise en cache est nécessaire, car l'application de la modification du mot de passe peut prendre un certain temps, cette modification devant être traitée par le serveur d'administration Domino®, puis répliquée dans l'ensemble de l'environnement Domino®.
La mise en cache du nouveau mot de passe utilisateur permet au serveur HTTP de reconnaître immédiatement le nouveau mot de passe Internet de l'utilisateur et de l'accepter pour la connexion même si les informations de modification de mot de passe ne sont pas encore complètement répliquées dans l'environnement Domino®.
Les modifications de mot de passe peuvent désormais être mises en cache si le serveur HTTP est configuré pour la connexion unique. Cela signifie qu'un utilisateur peut se connecter à un environnement de connexion unique, modifier son mot de passe Internet, se déconnecter et se reconnecter en utilisant le nouveau mot de passe Internet alors que la modification est en cours de réplication dans l'ensemble du système.
Emplacement et durée de la mise en cache
Comme dans les versions précédentes, le nouveau mot de passe Internet mis en cache de l'utilisateur est stocké sur le serveur HTTP uniquement à l'emplacement où la demande de modification du mot de passe a été adressée. Les autres serveurs de l'environnement de connexion unique n'ont pas accès à ces informations mises en cache ; ainsi, lorsque l'utilisateur est invité à entrer un mot de passe par un de ces serveurs, l'ancien mot de passe peut être requis, plutôt que le nouveau. Sur les serveurs n'ayant pas accès aux informations mises en cache, l'utilisateur doit fournir le mot de passe correspondant aux informations de mot de passe trouvées par le serveur dans l'annuaire.
Notez que dans le cas des utilisateurs de connexion unique, la connexion initiale donne accès à l'ensemble de l'environnement de connexion unique. Les utilisateurs ne rencontrent ainsi aucun problème si toutes les opérations de connexion sont effectuées en permanence sur le serveur ayant mis en cache le nouveau mot de passe. L'utilisateur peut tenter d'accéder à une URL sur le serveur cible et être invité à entrer un mot de passe par ce serveur plutôt que de choisir de fournir un mot de passe à un serveur n'ayant pas accès au nouveau mot de passe mis en cache.
Le nouveau mot de passe Internet mis en cache est, par défaut, pris en compte par le serveur HTTP pendant 48 heures. Vous pouvez configurer la durée de la mise en cache des informations à l'aide du paramètre HTTP_PWD_CHANGE_CACHE_HOURS du fichier NOTES.INI . Lorsque le délai d'attente de ces informations est dépassé dans le cache, l'utilisateur peut alors uniquement se connecter à l'aide du mot de passe correspondant aux informations de mot de passe trouvées par le serveur dans l'annuaire Domino®.
Mise en cache de mot de passe et nom de connexion de connexion unique
Le nouveau mot de passe peut être utilisé uniquement si le serveur HTTP trouve l'utilisateur dans son cache. Afin que le nouveau mot de passe Internet mis en cache fonctionne, l'utilisateur doit se connecter en utilisant un nom d'utilisateur identique à celui utilisé précédemment. Par exemple, s'il était connecté en tant que "Jean Dubois" lors de la modification du mot de passe, il ne peut pas se connecter ultérieurement avec le nouveau mot de passe et un autre nom d'utilisateur valide tel que "jdubois". L'utilisateur doit se connecter avec le nouveau mot de passe et le nom d'utilisateur "Jean Dubois" comme précédemment.
Guide des procédures pour la mise en cache de mot de passe pour la connexion unique
Pour un résultat optimal, demandez aux utilisateurs de suivre les étapes suivantes :
- Se connecter à un serveur HTTP Domino® prenant en charge la mise en cache des mots de passe pour la connexion unique.
- Soumettre la demande de modification du mot de passe Internet en appelant l'URL ChangePassword sur le serveur. Par exemple :
http://monserveur.masociété.com/noms.nsf?changepassword)
L'application de la modification du mot de passe à l'ensemble des serveurs de l'environnement de connexion unique peut prendre un certain temps. En attendant, les utilisateurs doivent toujours se connecter en premier au serveur à partir duquel ils ont adressé la demande de modification de mot de passe, en utilisant le même nom d'utilisateur que précédemment et en fournissant le nouveau mot de passe.
Si, pour une raison quelconque, le nouveau mot de passe d'un utilisateur n'est pas accepté sur le serveur à partir duquel la demande a été adressée, l'utilisateur doit réessayer de se connecter en utilisant le nouveau mot de passe et son nom d'utilisateur au format de nom distinctif (par exemple, Jean Dubois/MaSociété).
Résolution des problèmes liés à la mise en cache de mot de passe Internet pour la connexion unique
La liste suivante décrit certains problèmes courants liés à la configuration et à l'utilisation de la mise en cache de mot de passe Internet dans un environnement de connexion unique.
- L'utilisateur fournit un nom orthographié différemment. Supposons qu'un utilisateur tente de se connecter en tant que "jdubois" (après s'être précédemment connecté en tant que "Jean Dubois" et avoir adressé une demande de modification de mot de passe). L'utilisateur "jdubois" doit fournir le mot de passe correspondant aux informations de mot de passe de l'annuaire, qui peut être l'ancien mot de passe de l'utilisateur.
- L'utilisateur se connecte dans un premier temps à un serveur de connexion unique, puis adresse la demande de modification de mot de passe sur un autre serveur. Lorsqu'un utilisateur se connecte à un serveur de connexion unique, son navigateur reçoit un jeton de connexion unique qui lui permet d'accéder aux autres serveurs de la configuration sans avoir à se reconnecter. Si cet utilisateur accède ensuite à un deuxième serveur sur lequel il adresse la demande de modification de mot de passe, ce serveur reçoit le jeton de connexion unique de l'utilisateur et identifie l'utilisateur uniquement selon les informations stockées dans ce jeton. Ce deuxième serveur ne connaît par le nom fourni par l'utilisateur lors de la connexion.
Lorsque l'utilisateur modifie son mot de passe sur le deuxième serveur, ce dernier met en cache le nouveau mot de passe Internet de l'utilisateur. Dans ce cas, le serveur ne dispose pas du nom de connexion de l'utilisateur du fait que ce dernier s'est initialement connecté sur un autre serveur. Le deuxième serveur mémorise le nouveau mot de passe mais mémorise également que ce dernier s'applique à l'utilisateur portant le nom distinctif Domino® correspondant. Si l'utilisateur se déconnecte et souhaite plus tard se connecter directement à ce serveur à l'aide du nouveau mot de passe Internet, il doit alors fournir son nom distinctif (par exemple, Jean Dubois/MaSociété).
- L'authentification de la connexion initiale de l'utilisateur est exécutée par une bibliothèque de filtres DSAPI. Le serveur HTTP peut être étendu par l'ajout d'une ou plusieurs bibliothèques de filtres DSAPI qui peuvent être configurées de sorte que le serveur HTTP leur transmette les demandes d'authentification. Une bibliothèque DSAPI peut uniquement contrôler un sous-ensemble des URL du serveur. Si l'URL saisie par l'utilisateur pour accéder à un serveur est associée à une bibliothèque DSAPI spécifique, le nom de connexion de l'utilisateur (par exemple, "Jean Dubois") et son mot de passe peuvent être transmis à la bibliothèque DSAPI afin que cette dernière puisse décider si l'utilisateur peut être authentifié. Lorsque l'authentification est approuvée, la bibliothèque DSAPI retransmet le nom de l'utilisateur authentifié au serveur HTTP. Le nom transmis au serveur HTTP est, en règle générale, un nom distinctif Domino®. Ce nom est le nom sous lequel l'utilisateur est connu du serveur HTTP, c'est-à-dire que celui-ci peut ne pas connaître cet utilisateur en tant que "Jean Dubois" mais en tant que "Jean Dubois/MaSociété". Après l'authentification de l'utilisateur effectuée par une bibliothèque de filtres DSAPI pendant la connexion, l'utilisateur peut poursuivre son travail et soumettre une demande de modification du mot de passe.Remarque : Les informations concernant la modification du mot de passe et le nouveau mot de passe requis ne sont transmises à aucune bibliothèque DSAPI, et bien qu'une telle modification affecte les informations de l'annuaire Domino® pour l'utilisateur en question, elle ne modifie pas la manière dont la bibliothèque DSAPI interprète le mot de passe de l'utilisateur.
Lorsque l'utilisateur adresse une demande de modification de mot de passe, le serveur HTTP met en cache le nouveau mot de passe Internet de l'utilisateur en question en utilisant le nom dont il dispose pour cet utilisateur. Si l'utilisateur se déconnecte et souhaite se connecter ultérieurement avec le nouveau mot de passe à une URL du serveur non associée à la bibliothèque DSAPI, le serveur HTTP tente alors de vérifier le nom et le mot de passe utilisateur. Si la modification du mot de passe dans l'annuaire est toujours en attente, le serveur HTTP peut uniquement vérifier le nouveau mot de passe de l'utilisateur s'il est présent dans le cache. Afin que le serveur puisse le trouver dans le cache, l'utilisateur doit fournir le nom correspondant au nom stocké dans le cache, à savoir le nom transmis par la bibliothèque DSAPI (par exemple,
"CN=John Doe/O=MyCompany").