Gestion et mappage de rôles et de propriétés

Spectrum SSO mappe facilement des comptes d'utilisateur vers des informations d'identification attribuées par l'administrateur. Les utilisateurs disposant du rôle STS_SSO reçoivent les partages appropriés lorsqu'ils se connectent à Spectrum Technology Platform. Pour supprimer le mappage de rôle, saisissez les attributs LDAP à dissocier dans le champ valeur de la section removeMapping de la console JMX.

Assurez-vous que vos utilisateurs sont définis sur Spectrum™ Technology Platform avec les informations d'identification et les autorisations appropriées. Si un utilisateur possède un paramètre de propriété spectrum.security.account.createNonExisting=False, il ne sera pas reconnu et ne sera pas authentifié pour SSO. Les noms d'utilisateur doivent être créés manuellement par l'administrateur du système. Un utilisateur qui n'existe pas dans le référentiel d'authentification externe ne pourra pas se connecter à Spectrum, même s'il est créé manuellement dans Spectrum Management Console. Une fois l'utilisateur créé dans le référentiel d'authentification externe, il peut se connecter à Spectrum.

Configuration de l'utilisateur admin

Les utilisateurs peuvent être mappés vers les rôles d'administrateur. Les utilisateurs mappés au niveau admin ont les mêmes privilèges que les utilisateurs de niveau admin Spectrum, mais ils apparaissent en tant qu'utilisateurs non admin avec des privilèges de rôle « utilisateur » de base. Vous pouvez modifier les privilèges des utilisateurs sur la page Sécurité de Management Console, afin que les véritables privilèges s'affichent.

Sous l'implémentation Spectrum SSO, le rôle partage admin/utilisateur « par défaut » ne s'applique pas automatiquement. Pour appliquer et afficher les autorisations de rôle utilisateur, vous devez définir les propriétés de tout utilisateur mappé vers le groupe d'utilisateurs domaine.

  1. Établissez des profils d'accès à l'échelle du système, y compris celui d'Administrateur (« Admin »).
  2. Définissez une propriété statique dans Spectrum qui authentifie les utilisateurs de niveau admin en fonction de la définition du rôle d'administrateur à l'échelle du système : spectrum.security.authentication.spectrumserver.admin.role=admin.

    Cette propriété définit les autorisations pour le rôle d'utilisateur admin sous SSO.

  3. Connectez-vous à la console JMX et recherchez cette propriété : com.pb.spectrum.platform.common.security.role:mappings=RoleMappings.

    Cette propriété gère le mappage des valeurs d'attribut des rôles vers les rôles Spectrum.

  4. Définissez les paramètres de propriété du groupe d'utilisateurs admin :
    1. Dans la section addMapping, dans le champ value, saisissez la valeur du rôle SSO que vous souhaitez mapper vers un rôle Spectrum™ Technology Platform.
    2. Dans le champ roleName, saisissez le rôle Spectrum™ Technology Platform que vous souhaitez mapper vers la valeur d'attribut LDAP.
    3. Cliquez sur Appeler. Les utilisateurs qui disposent du rôle SSO se verront désormais attribuer le rôle que vous avez spécifié après leur connexion à Spectrum™ Technology Platform au moins une fois. REMARQUE : pour supprimer un mappage, saisissez l’attribut LDAP dont vous souhaitez annuler le mappage dans le champ value de la section removeMapping.
  5. Définissez la propriété suivante sur true (par défaut) pour autoriser la définition d'utilisateurs admin supplémentaires via la propriété spectrum.security.account.createNonExisting=true.
  6. Définissez la propriété dynamique pour appliquer des autorisations de groupe admin au démarrage du serveur Spectrum : spectrum.security.authentication.idpserver.admin.role=rolename, où rolename est le nom du groupe d'utilisateurs qui hériteront des autorisations admin au niveau du système.