Configuration du mappage du nom d'utilisateur dans le jeton LTPA connexion unique

Le jeton LTPA créé pour authentifier les utilisateurs pour une connexion unique inclut le nom de l'utilisateur authentifié. Lorsque HCL Domino® crée un jeton LTPA, il place, par défaut, le nom distinctif Domino® dans le jeton. Lorsqu'un serveur IBM® WebSphere® Serveur d'applications obtient le jeton d'un utilisateur tentant d'accéder au serveur, ce dernier doit être à même de reconnaître ce format de nom. Si tel n'est pas le cas, le jeton est ignoré, la connexion unique échoue et l'utilisateur est invité à se reconnecter.

Pourquoi et quand exécuter cette tâche

Cette situation se produit en général dans le cas de configurations d'utilisateur final comprenant plusieurs annuaires utilisés par différents serveurs utilisant le système de connexion unique ; un utilisateur peut, par conséquent, avoir plusieurs identités. Par exemple, un utilisateur peut être connu dans un annuaire LDAP WebSphere en tant que uid=jdoe,cn=sales,dc=renovations, dc=com, mais en tant que Domino® dans un annuaire John P Doe/Sales/Renovations. Lorsque WebSphere reçoit un jeton LTPA contenant un nom d'utilisateur tel que John P Doe/Sales/Renovations, il tente de trouver cet utilisateur dans l'annuaire WebSphere et rejette le jeton si la recherche ne donne aucun résultat.

Les administrateurs Domino® peuvent désormais mapper le nom d'utilisateur affiché dans un jeton LTPA créé par Domino avec le nom censé apparaître pour WebSphere®, afin de s'assurer que le nom est reconnu dans un environnement Domino® et WebSphere mixte où Domino® et WebSphere® ne partagent pas le même annuaire.

Remarque : Dans un environnement Domino® mixte, le mappage du nom d'utilisateur dans le jeton LTPA fonctionne uniquement si le jeton est généré par un serveur Domino® 7.0. Si la valeur de nom d'utilisateur utilisée dans le jeton LTPA est également ajoutée comme valeur secondaire dans le champ Nom complet de l'enregistrement Personne dans les serveurs antérieurs à Domino 7.0 (dans un but de création d'alias, par exemple), les utilisateurs peuvent également accéder aux bases de données des serveurs Domino® 6.02 et version ultérieure, ainsi que des serveurs WebSphere.

La définition du nom d'utilisateur devant être utilisé par le jeton LTPA dépend de la configuration d'annuaire utilisée dans l'environnement de connexion unique.

  • Si les informations sur l'utilisateur HCL Notes® sont contenues dans un annuaire Domino® uniquement, définissez le mappage du nom d'utilisateur dans le document Personne.
  • Si les informations Notes® sont contenues dans un annuaire LDAP d'entreprise, configurez le mappage du nom d'utilisateur dans le document Directory Assistance.
  • Si l'organisation utilise des annuaires Domino® et LDAP, configurez l'enregistrement Personne dans Domino® et les informations de connexion unique dans Directory Assistance.

Les champs des annuaires LDAP et Domino® ne faisant généralement pas l'objet d'une correspondance bi-univoque, l'utilisation des documents Directory Assistance pour le mappage des noms permet aux administrateurs LDAP de spécifier quel champ LDAP équivaut au champ Nom d'utilisateur LTPA.

Remarque : Toute configuration de mappage de noms dans les documents Directory Assistance est ignorée si la fonction de mappage n'est pas activée dans le document de configuration de connexion unique.

Pour configurer le mappage du nom d'utilisateur dans un environnement d'annuaire Domino®

Pourquoi et quand exécuter cette tâche

Dans cet environnement, certains utilisateurs de connexion unique Domino® disposent d'enregistrements Personne dans l'annuaire Domino®.

Procédure

  1. Activez le mappage du nom d'utilisateur pour le jeton LTPA. Dans le document Configuration de connexion unique Web définissant votre environnement de connexion unique, sélectionnez Activé pour l'option Mapper les noms dans les jetons LTPA.
  2. Dans le document Personne de l'utilisateur, cliquez sur Administration. Sous Informations client, dans le champ Nom d'utilisateur LTPA, entrez le nom spécifique (DN) de l'utilisateur censé apparaître dans WebSphere®.

    La valeur saisie dans ce champ doit être unique, ce qui signifie qu'elle ne doit pas correspondre à plus d'une personne au sein de l'organisation. En règle générale, il s'agit du nom distinctif (DN) LDAP de l'utilisateur. Veillez à séparer les composants de nom à l'aide de barres obliques (/). Par exemple, si le DN LDAP est

    uid=jdoe,cn=sales,dc=renovations, dc=com

    entrez la valeur comme suit : 

    uid=jdoe/cn=sales/dc=renovations/dc=com

Résultats

Bien que le nom soit saisi au format Domino® dans le champ du nom d'utilisateur LTPA, Domino® convertit le nom d'utilisateur LTPA configuré au format LDAP approprié censé s'afficher dans WebSphere avant de l'insérer dans le jeton LTPA créé par Domino.

Pour configurer le mappage du nom d'utilisateur dans un environnement d'annuaire LDAP d'entreprise (environnement d'annuaire Domino® et LDAP mixte)

Pourquoi et quand exécuter cette tâche

Dans cet environnement, certains ou l'ensemble des utilisateurs Domino® ne disposent pas d'enregistrements Personne dans l'annuaire Domino®. A la place, ces utilisateurs Domino® bénéficient d'enregistrements stockés dans un annuaire LDAP externe et accessible dans Domino® via l'assistance d'annuaire (base Directory Assistance).

Procédure

  1. Activez le mappage du nom d'utilisateur pour le jeton LTPA. Dans le document Configuration de connexion unique Web définissant votre environnement de connexion unique, sélectionnez Activé pour l'option Mapper les noms dans les jetons LTPA.
  2. Ouvrez le document Directory Assistance de l'annuaire LDAP. Dans la section relative à la configuration de connexion unique, entrez un attribut LDAP devant être utilisé en tant que nom dans un jeton de connexion unique créé pour cet utilisateur. Cet attribut sera utilisé dans le jeton LTPA lorsque le champ LTPA_UserNm sera demandé. Vous devez impérativement vous assurer que le champ sélectionné contient le nom d'utilisateur censé apparaître dans WebSphere®. Les valeurs possibles pour ce champ sont les suivantes :
    • tout attribut LDAP approprié identifiant l'utilisateur de manière unique,
    • une valeur de $DN pour utiliser le nom distinctif. Il s'agit de la configuration la plus courante. Elle indique que le nom spécifique (DN) LDAP de l'utilisateur correspond au nom censé s'afficher dans WebSphere®, et non à un nom provenant d'un champ LDAP choisi au hasard.
    • un champ vierge de façon à utiliser par défaut le nom distinctif Domino®, s'il est connu. Si tel n'est pas le cas, le nom utilisé par défaut est le nom distinctif LDAP.

Résultats

Si l'assistance d'annuaire (Directory Assistance) est configurée en vue de permettre à une recherche sur un utilisateur précis de trouver une correspondance dans des annuaires Domino® et LDAP à la fois, Domino® exige une cohérence entre un enregistrement Personne Domino® et un enregistrement LDAP. Domino® suit une procédure supplémentaire pour déterminer que des valeurs correspondant à l'adresse e-mail Internet existent dans les deux annuaires. Pour y parvenir, l'assistance d'annuaire recherche l'attribut LDAP mail de l'utilisateur. Cette valeur doit correspondre aux informations relevées dans le champ internetaddress de l'enregistrement Personne dans Domino®.

Tableau 1. Valeurs devant correspondre pour le succès de la connexion SSO
Attribut dans l'annuaire LDAP Attribut dans l'annuaire Domino®

mail: mail: Jbond@secret.spies.com

InternetAddress : mail: Jbond@secret.spies.com

Tenez compte des considérations supplémentaires suivantes lorsque vous effectuez un mappage de nom d'utilisateur :

  • Pour prendre en charge la création d'alias, dans le document Personne, ajoutez le nom LDAP au champ LTPA_UserNm et en tant que valeur secondaire dans le champ Nom d'utilisateur (à savoir, la propriété de document Nom complet).
  • Un serveur HCL Sametime® ne prend pas en charge les configurations Internet Sites.
  • Le mappage de nom dans le jeton LTPA n'est pas pris en charge si les informations utilisateur sont stockées dans des catalogues d'annuaires condensés.