SSO RSA ClearTrust and CA SiteMinder Plugin 2.0
Description
This plugin adds support for SSO: RSA ClearTrust and CA Site Minder.
Installation
Principe de fonctionnement
- L'authentification est gérée en amont de JCMS par ClearTrust qui positionne le login du membre identifié. Si ce membre n'est pas déjà connu par JCMS, l'anuaire LDAP est consulté. Le plugin n'interdit pas les accés non authentifié mais seuls les contenus publics seront visibles.
- Le plugin est compatible avec la gestion de la délégation qui permet de changer d'identité lorsqu'on y a été autorisé.
- Ce plugin est exclusif avec d'autres modes d'authentification. En particulier il n'est plus possible d'utiliser l'authentification native de JCMS. Il est donc nécessaire de disposer d'un commpte administrateur reconnu par ClearTrust
Configuration
- En prémiminaire, activer et configurer la connexion au serveur LDAP.
- Télécharger le module ClearTrust/SiteMinder.
- Dans Administration > Gestion des Modules : Déposer le module
- Redémarrer le site
- Dans Administration > Gestion des Modules : Consulter le module ClearTrust/SiteMinder.
- Module ClearTrust/SiteMinder > Administration : indiquer l'attribut positionné par le SSO. La valeur par défaut est prévu pour ClearTrust, indiquez "SM_USER" dans le cas de SiteMinder.
- Tester
- Une fois que l'authentification fonctionne :
- Créer un compte administrateur dans LDAP et s'assurer que le login est le même dans LDAP et JCMS
- Module ClearTrust/SiteMinder > Administration : désactiver l'authentification JCMS. Il ne sera alors plus possible de s'authentifier en dehors de ClearTrust/SiteMinder.
- En cas de besoin, il est possible de désactiver le module...
Configuration avancée
ClearTrust positionne un attribut HTTP indiquant le login de la personne authentifiée. Par défaut cet attribut est ct_remote_user
et peut être modifié en positionnant la propriété jcmsplugin.cleartrust.attribute
. Cette propriété sera positionnée dans le fichier WEB-INF/data/custom.prop
Dans le paramétrage par défaut, l'authentification gérée par JCMS reste activée. Ce mode est fourni pour des raisons de commodité car dans la phase de paramétrage il ne serait plus possible de se connecter, en particulier en tant qu'administrateur. Sauf validation de l'adéquation avec la sécurité souhaitée, ce mode n'est pas prévu pour fonctionner en production. Pour cela il faut le désactiver dans l'interface d'administration : Gestion des modules > ClearTrust > Administration > Propriétés > Authentification JCMS.
En cas de besoin, le plugin peut être désactivé en éditant l'attribut initialize="true"
dans le fichier WEB-INF/plugins/ClearTrust/plugin.xml
. L'authentification par défaut redevient active lorsque le plugin ClearTrust est désactivé.
FAQ
Pour pouvoir s'authentifier à nouveau, réactiver l'authentification par défaut de JCMS en
positionnant dans WEB-INF/data/custom.prop la propriété :
jcmsplugin.cleartrust.authentification.jcms: true
Pour s'assurer que le SSO positionne correctement l'en-tête HTTP attendu, utiliser le JSP suivant qui affiche tous les en-têtes HTTP : displayHeaders.jsp
Oui, le SSO ClearTrust est alors utilisé uniquement pour l'authentification. Cela permet de gérer finement les droits avec JCMS. On peut avoir ainsi une partie publique et une partie privée et on peut aussi avoir un même site ou les informations affichées dépendront des droits de la personne.
Pour en savoir plus, consultez ce document rédigé par le rectorat de Paris : Mise en œuvre du SSO avec Jalios-JCMS et RSA-Cleartrust