Abilitazione di SSO (single sign-on) per SiteMinder

Configurare IBM® Connections in modo da utilizzare SiteMinder di Computer Associates per implementare l'autenticazione utente e SSO (single sign-on).

Prima di iniziare

Completare le seguenti condizioni prerequisite:

  • Verificare che sia possibile accedere alle applicazioni di IBM Connections da un browser Web.
  • Completare l'installazione e la configurazione di TAI/ASA. Le istruzioni sono incluse con SiteMinder.
  • Verificare che TAI/ASA sia registrato con WebSphere Application Server.

  • Ogni attributo href nel file LotusConnections-config.xml non è sensibile al maiuscolo/minuscolo e deve specificare il nome dominio completo.

  • L'alias J2C connectionsAdmin specificato durante l'installazione deve corrispondere a un account valido che possa autenticarsi con SiteMinder. È possibile che sia associato a un account utente di amministrazione back-end. Questo account deve essere in grado di autenticarsi per SSO (single sign-on) con SiteMinder. Se è necessario aggiornare l'ID utente o le credenziali per questo alias, fare riferimento alla sezione Modifica dei riferimenti alle credenziali amministrative.
  • Per maggiori informazioni sulla configurazione di SiteMinder Policy Server e Web Agent, fare riferimento a CA SiteMinder BookShelf.
  • Per maggiori informazioni su SiteMinder Agent per WebSphere, fare riferimento al manuale CA SiteMinder Agent for WebSphere (PDF) e a CA eTrust SiteMinder Agent for IBM WebSphere Release Notes (PDF). L'ultima Application Server Agent (ASA) in questo momento è la versione 12. Il supporto CA conferma che può essere utilizzato con SM 12.51.

Informazioni su questa attività

È necessario creare gli oggetti agent e dominio di SiteMinder Agent con ambiti, regole e una politica correlata a IBM HTTP Server e WebSphere Application Server.

Quando un utente richiede una pagina protetta da SiteMinder, l'agent Web sul serverHTTP intercetta la richiesta e richiede all'utente di autenticarsi. Se l'utente fornisce credenziali valide, l'utente viene autenticato e un cookie SMSESSION sarà aggiunto alla richiesta che viene poi inoltrata al WebSphere Application Server. Il SiteMinder Trust Association Interceptor (TAI) sul server verifica le informazioni nel cookie e imposta il principal utente che IBM Connections richiede per identificare l'utente.

Questa attività descrive una configurazione che utilizza SiteMinder Policy Server 6.0 SP5, SiteMinder ASA 6.0 Agent per WebSphere Application Server (con hotfix CR00010) e SiteMinder Web Agent v6qmr5-cr035.

Per impostare SSO utilizzando SiteMinder, completare i passaggi riportati di seguito:

Procedura

  1. Scaricare e applicare i file della politica JCE senza limitazioni:
    1. Passare alla pagina Web Informazioni sulla sicurezza SDK di J2SE 5.
    2. Autenticarsi con i propri ID utente e password IBM universali.
    3. Scaricare il pacchetto File della politica JCE per SDK senza limitazioni per tutte le versioni più recenti.
    4. Estrarre i file dal pacchetto scaricato.
    5. Eseguire il backup delle copie esistenti (se presenti) dei file US_export_policy.jar e local_policy.jar presenti nella directory root_server_app/java/jre/lib/security.
    6. Copiare i nuovi file jar dal pacchetto estratto nella stessa directory, sovrascrivendo i file esistenti.
  2. Creare gli agent sul SiteMinder Policy Server, compresi un agent Web per IBM HTTP Server e un agent del server delle applicazioni per WebSphere Application Server.
    1. Aprire la console di gestione di SiteMinder.
    2. Fare clic con il tasto destro del mouse su Agent e selezionare Crea agent.
    3. Immettere i dettagli nel campo Nome Descrizione dell'agent Web per IBM HTTP Server.
    4. Ripetere questi passi per l'agent del server delle applicazioni.
  3. Creare oggetti di configurazione agent sul SiteMinder Policy Server. Nella console di gestione di SiteMinder, aprire il riquadro Oggetti conf agent ed effettuare le seguenti operazioni:
    1. Configurare l'agent Web per IBM HTTP Server:
      1. Fare clic con il tasto destro del mouse su Agent impostazioni predefinite Apache e selezionare Duplica oggetto di configurazione.
      2. Immettere i valori per Nome e Descrizione dell'oggetto di configurazione agent.
      3. Aggiornare i seguenti parametri corrispondenti al proprio ambiente:
        DefaultAgentName
        Nome dell'agent Apache creato in precedenza
        CookieDomain
        dominio

        dove dominio è il proprio dominio di IBM Connections. Se, ad esempio, l'URL è http://activities.example.com/activities, il nome host sarà activities.example.com e il dominio sarà example.com. In questo esempio, viene impostato CookieDomain=example.com. .

        RequireCookies
        NO

        Questo parametro configura l'agent Web per il supportodell'autenticazione di base ma senza richiedere che tutti i programmi client API supportino i cookie.

        BadCSSChars
        <,>

        Questo parametro abilita la funzionalità Invita colleghi in Profili.

        LogOffUri
        URI

        Configurare SiteMinder in modo che riconosca un solo indirizzo Web come indirizzo Web di scollegamento. Eliminare il commento di uno dei seguenti URI rimuovendo il carattere cancelletto (#):

        #LogOffUri="/activities/service/html/ibm_security_logout"

        #LogOffUri="/blogs/ibm_security_logout"

        #LogOffUri="/communities/communities/ibm_security_logout"

        #LogOffUri="/dogear/ibm_security_logout"

        #LogOffUri="/files/ibm_security_logout"

        #LogOffUri="/forums/ibm_security_logout"

        #LogOffUri="/homepage/web/ibm_security_logout"

        #LogOffUri="/moderation/ibm_security_logout"

        #LogOffUri="/news/ibm_security_logout"

        #LogOffUri="/profiles/ibm_security_logout"

        #LogOffUri="/search/ibm_security_logout"

        #LogOffUri="/wikis/ibm_security_logout"

    2. Nella scheda Sistema, aggiornare il campo Oggetto di configurazione agent con il seguente valore: FCCCompatMode – NO
    3. Configurare l'agent del server delle applicazioni:
      1. Fare clic con il tasto destro del mouse su Agent impostazioni predefinite Apache e selezionare Duplica oggetto di configurazione.
      2. Immettere i valori per Nome e Descrizione dell'oggetto di configurazione agent.
      3. Aggiornare i seguenti parametri corrispondenti al proprio ambiente:
        DefaultAgentName
        Nome dell'agent Apache creato in precedenza
        CookieDomain
        dominio

        dove dominio è il proprio dominio di IBM Connections. Se, ad esempio, l'URL è http://activities.example.com/activities, il nome host sarà activities.example.com e il dominio sarà example.com. In questo esempio, viene impostato CookieDomain=example.com.

        AssertionAuthResource
        /siteminderassertion
        AssertbyUserID
        True
      4. Controllare se la proprietà PrevalidateCookie esiste nei valori di configurazione come riportato di seguito:
        • Se PrevalidateCookie non esiste, fare clic su Modifica e impostare su YES.
        • Se PrevalidateCookie non esiste, fare clic su Aggiungi, aggiungere un parametro denominato PrevalidateCookie e impostarlo su YES.
        • Fare clic su OK e quindi fare clic su OK di nuovo per salvare i parametri.
    Note:
    • Se attivato, il parametro LogOffUri cancella il cookie SMSESSION e si accerta che l'utente si sia scollegato da tutte le sessioni del browser di IBM Connections.
    • Per aggiungere i parametri, modificare l'oggetto di configurazione dell'agent su SiteMinder Policy Server. In alternativa, sarà possibile modificare il file LocalConfig.conf sul server HTTP se l'agent Web è configurato per utilizzarlo.
    • Se si sta modificando direttamente il file di configurazione di SiteMinder, è necessario racchiudere i valori dei parametri di configurazione di SiteMinder tra virgolette ("), ad esempio BadCSSChars="<,>". Se si modificano questi parametri all'interno di SiteMinder Policy Server, non utilizzare le virgolette.
  4. Specificare la configurazione dello schema di autenticazione di SiteMinder:
    1. Aprire la console di gestione SiteMinder e passare alla finestra di dialogo Proprietà schema di autenticazione.
    2. Dall'elenco Tipo di schema di autenticazione selezionare Modello modulo HTML.
    3. Deselezionare la casella di spunta Utilizza destinazione relativa.
    4. Immettere l'URL del server HTTP di IBM Connections nel campo Nome server Web.
  5. Su SiteMinder Policy Server, creare un dominio per l'agent Web di IBM HTTP Server.
  6. Creare ambiti protetti nel dominio dell'agent Web di IBM HTTP Server:
    1. Utilizzando l'oggetto agent e lo schema di autenticazione con moduli creati nel passo 3.a e nel passo 4, creare gli ambiti SiteMinder protetti dall'autenticazione con moduli.

      Fare riferimento alla tabella Ambiti che richiedono l'autenticazione con moduli per un elenco di URL protetti dall'autenticazione con moduli.

      Tabella 1. Ambiti che richiedono l'autenticazione con moduli
      Applicazione Risorsa URL protetta
      ConnectionsDefaultRealm /
      Attività /activities/follow/atomfba
      /activities/service/atom2/forms
      /activities/service/atom2/communityEvent
      /activities/service/download/forms
      /activities/service/getnonce/forms
      Blog /blogs/api_form
      /blogs/atom_form
      /blogs/follow/atomfba
      /blogs/roller-ui/blog
      /blogs/roller-ui/feed_form
      /blogs/roller-ui/rendering/api_form
      /blogs/roller-ui/rendering/feed_form
      /blogs/roller-ui/BlogsWidgetEventHandler.do
      /blogs/services/atom_form
      Segnalibri /dogear/atom_fba
      Risorse comuni /connections/opensocial/rest
        /connections/config
      Comunità /communities/calendar/atom_form
      /communities/follow/atomfba
      /communities/forum/service/atom/forms
      /communities/recomm/ajax
      /communities/recomm/atom_form
      /communities/service/atom/forms
      File /files/follow/atomfba
      /files/form/cmis/repository
      Forum /forums/atom/forms
      /forums/follow/atomfba
      Metriche /metrics
      /metricssc
      /cognos
      /cognos/servlet/ping
      Profili /profiles/atom/forms
      /profiles/atom2/forms
      /profiles/follow/atomfba
      Anteprima URL /connections/opengraph/form/api/oembed
      /connections/thumbnail/form/api/imageProxy
      Wiki /wikis/follow/atomfba
    2. Utilizzando l'oggetto agent e lo schema di autenticazione con moduli creati nel passo 3.a e nel passo 4, creare gli ambiti SiteMinder protetti dall'autenticazione di base.

      Fare riferimento alla tabella Ambiti che richiedono l'autenticazione di base per un elenco di URL protetti dall'autenticazione di base.

      Tabella 2. Ambiti che richiedono l'autenticazione di base
      Applicazione Risorsa URL protetta
      Attività /activities/follow/atom
      /activities/service/download
      /activities/service/html/autocompleteactivityname
      /activities/service/html/autocompleteentryname
      /activities/service/html/autocompletemembers
      /activities/service/atom
      /activities/service/getnonce
      Blog /blogs/api
      /blogs/atom
      /blogs/follow/atom
      /blogs/issuecategories
      /blogs/roller-ui/feed
      /blogs/roller-ui/rendering/api
      /blogs/roller-ui/rendering/feed
      /blogs/services/atom
      Segnalibri /dogear/api/app
      /dogear/api/deleted
      /dogear/api/notify
      /dogear/atom
      Risorse comuni /connections/opensocial/basic/rest
      Comunità /communities/calendar/atom
      /communities/calendar/handleEvent
      /communities/calendar/ical
      /communities/follow/atom
      /communities/forum/service/atom
      /communities/recomm/atom
      /communities/recomm/handleEvent
      /communities/service/atom
      /communities/service/json
      Content Manager /dm/atom/seedlist
      File /files/basic/api
      /files/basic/cmis
      /files/basic/opensocial
      /files/follow/atom
      Forum /forums/atom
      /forums/follow/atom
      Home page /homepage/atom/search
      /homepage/atom/mysearch
      Metriche /metricssc/configsetter
      Notizie /news/atom/service
      /news/atom/stories/newsfeed
      /news/atom/stories/public
      /news/atom/stories/saved
      /news/atom/stories/statusupdates
      /news/atom/stories/top
      /news/atom/watchlist
      /news/atomfba/stories/public
      Profili /profiles/admin/atom
      /profiles/atom
      /profiles/atom2
      /profiles/audio.do
      /profiles/follow/atom
      /profiles/json
      /profiles/photo.do
      /profiles/vcard
      Anteprima URL /connections/opengraph/basic/api/oembed
      /connections/thumbnail/basic/api/imageProxy
      Wiki /wikis/basic/api
      /wikis/follow/atom
    3. Opzionale: Proteggere le credenziali di accesso con la crittografia: utilizzando lo schema Modello di base su SSL, creare uno schema di autenticazione SiteMinder e applicarlo a tutti gli ambiti SiteMinder che richiedono l'autenticazione di base.
  7. Creazione di azioni Delete e Head per l'agent Web. Per impostazione predefinita, l'agent Web ha solo le azioni Get, Post e Put disponibili. Per aggiungere le azioni Delete e Head, effettuare le seguenti operazioni:
    1. Nella console di gestione SiteMinder, fare clic su Visualizza e selezionare Tipi di agent.
    2. Selezionare Tipi di agent nel riquadro Sistemi.
    3. Fare doppio clic su Agent Web nell'elenco Tipo di agent.
    4. Nella finestra di dialogo Proprietà del tipo di agent, fare clic su Crea.
    5. Immettere Delete nella finestra Nuova azione agent e fare clic su OK.
    6. Immettere Head nella finestra Nuova azione agent e fare clic su OK.
    7. Fare di nuovo clic su OK per salvare l'azione.
  8. Creare le seguenti regole per ciascun ambito:
    Tabella 3. Regole per gli ambiti di IBM HTTP Server
    Regola GetPostPutDelHead Regola OnAuthAccept
    Ambito: CurrentRealm Ambito: CurrentRealm
    Risorsa: * (not /*) Risorsa: * (not /*)
    Azione: azioni dell'agent Web -> Get,Post,Put,Delete,Head Azione: eventi di autenticazione -> OnAuthAccept
    Quando viene attivata questa regola: Consenti accesso Quando viene attivata questa regola: Consenti accesso
    Abilitare o disabilitare questa regola: Abilitata Abilitare o disabilitare questa regola: Abilitata
  9. Creare una politica e aggiungere gli utenti che saranno in grado di accedere al server sulla politica. È possibile consentire tutti gli utenti nella directory LDAP o una serie di utenti; ad esempio: un ramo LDAP, singoli utenti o gruppi di utenti.
  10. Aggiungere le nuove regole alla nuova politica.
  11. Specificare ambiti che non sono protetti da SiteMinder.
    Nota: è necessario configurare i modelli di notifica e alcuni feed Atom come URL non protetti. La pagina del piè di pagina di Blog deve non essere protetta in quanto Blog utilizza il modello Velocità per estrarre le pagine dei piè di pagina.
    Tabella 4. Ambiti che non richiedono l'autenticazione
    Applicazione Risorsa URL non protetta
    Attività /activities_content
    /activities/auth
    /activities/images
    /activities/oauth
    /activities/service/html/images
    /activities/service/html/mainpage
    /activities/service/html/styles
    /activities/service/html/themes
    /activities/service/html/servermetrics
    /activities/service/html/serverstats
    /activities/serviceconfigs
    /activities/static/
    Registro di app /appreg
    /appregistry
    Blog /blogs/oauth
    /blogs/serviceconfigs
    /blogs/static/
    Segnalibri /dogear/oauth
    /dogear/peoplelike
    /dogear/serviceconfigs
    /dogear/static/
    Risorse comuni /connections/bookmarklet/tools/blet.js
    /connections/bookmarklet/tools/discussThis.js
    /connections/bookmarklet/tools/rlet.js
    /connections/core/oauth
    /connections/oauth
    /connections/resources/ic
    /connections/resources/socmail-client
    /connections/resources/socpim
    /connections/resources/web
    /connections/rte
    /nav/common
    Comunità /communities/calendar/Calendar.xml
    /communities/calendar/oauth
    /communities/comm.widget
    /communities/images
    /communities/nav
    /communities/recomm/oauth
    /communities/recomm/Recomm.xml
    /communities/resourceStrings.do
    /communities/service/atom/oauth
    /communities/service/html/communityview
    /communities/service/html/community/autoCompleteMembers.do
    /communities/service/html/singleas
    /communities/service/json/oauth/
    /communities/service/opensocial/oauth
    /communities/serviceconfigs
    /communities/static/
    /communities/stylesheet
    /communities/tools/embedAS.html
    /communities/widgets
    Content Manager /wsi
    /acce
    /dm
    File /files/app
    /files/basic/anonymous/api
    /files/basic/anonymous/cmis
    /files/basic/anonymous/opensocial
    /downloadfiles
    /files_content
    /files/form/anonymous/api
    /files/form/anonymous/cmis
    /files/form/anonymous/opensocial
    /files/oauth
    /files/serviceconfigs
    /files/static
    Forum /forums/oauth
    /forums/serviceconfigs
    /forums/static/
    Home page /homepage/oauth
    /homepage/search
    /homepage/serviceconfigs
    /homepage/static/
    /homepage/web/updates/
    Librerie /library_content_cache
    Metriche /metrics/service/eventTracker
    /metrics/service/oauth
    /cognos/servlet
    Mobile /mobile_content
    Moderazione /moderation/app
    /moderation/oauth
    /moderation/static
    Notizie /help
    /news/common/sand/static/
    /news/follow/oauth
    /news/microblogging/isPermitted.action
    /news/oauth
    /news/serviceconfigs
    /news/sharebox/config.action
    /news/static/
    Provider OAuth /oauth2
    Orientami /community-suggestions
    Profili /profiles/atom/forms/connections.do
    /profiles/images
    /profiles/oauth
    /profiles/serviceconfigs
    /profiles/static/
    /profiles/widget-catalog
    Ricerca /search/atom/search
    /search/oauth
    /search/static/
    Anteprima URL /connections/opengraph/form/anonymous/api/oembed
    /connections/opengraph/basic/anonymous/api/oembed
    /connections/opengraph/oauth/anonymous/api/oembed
    /connections/thumbnail/api/imageProxy
    Contenitore di widget /connections/opensocial/anonymous/rest
    /connections/opensocial/common
    /connections/opensocial/gadgets
    /connections/opensocial/ic
    /connections/opensocial/oauth
    /connections/opensocial/rpc
    /connections/opensocial/social
    /connections/opensocial/xrds
    /connections/opensocial/xpc
    Wiki /wikis/basic/anonymous/api
    /wikis_content
    /wikis/form/anonymous/api
    /wikis/home
    /wikis/js
    /wikis/oauth
    /wikis/static/
  12. Associare il ruolo Lettore a Tutti gli utenti autenticati nell'ambito dell'applicazione per le applicazioni Attività e Wiki. Fare riferimento a Ruoli.
  13. Su SiteMinder Policy Server, creare un dominio per l'agent del server delle applicazioni.
  14. Aggiungere il seguente ambito al nuovo dominio di WebSphere Application Server:
    Tabella 5. Ambiti SiteMinder per WebSphere Application Server
    Nome ambito Risorsa protetta
    Convalida TAI SM /siteminderassertion
    Nota: è necessario configurare la risorse protetta di questo ambito in modo che corrisponda al parametro AssertionAuthResource configurato in precedenza per l'agent del server delle applicazioni.
    Nota: assicurarsi che SM TAI rispetti i cookie basati su sessioni SM e i cookie LTPA attivati per la generazione da WAS.
  15. Impostare il valore di timeout della sessione per ciascun ambito.
    1. Su SiteMinder Policy Server, aprire la finestra di dialogo Ambito e fare clic su Sessione.
    2. Nella casella di gruppo Timeout di sessione, immettere i timeout per ogni ambito. Immettere i seguenti valori se non sono già presenti:
      Timeout massimo abilitato
      2 ore 0 minuti
      Timeout di inattività abilitato
      1 ora 0 minuti
    Nota: i valori di timeout massimo e timeout di inattività devono essere maggiori del valore di timeout del token LTPA, definito in WebSphere Application Server. Per impostazione predefinita, il timeout del token LTPA è impostato su 120 minuti.
  16. Installare l'agent Web su IBM HTTP Server:
    1. Scaricare la versione più recente dell'agent Web dalsito Web di CA.
    2. Installare l'agent Web. Per le istruzioni, fare riferimento a SiteMinder BookShelf.
    3. Quando richiesti i dettagli di configurazione dell'agent, specificare l'oggetto di configurazione agent creato in precedenza.
  17. Installare l'agent del server delle applicazioni sui propri nodi WebSphere:
    1. Scaricare la versione più recente dell'agent del server delle applicazioni dal sito Web di CA.
    2. Installare l'agent del server delle applicazioni su ogni nodo della distribuzione di IBM Connections. Per le istruzioni, fare riferimento al manuale SiteMinder Agent for WebSphere Agent Guide.
    3. Quando richiesti i dettagli di configurazione dell'agent, specificare l'oggetto di configurazione agent creato in precedenza.
  18. Copiare il file smagent.properties dalla cartella conf dell'installazione ASA sul profilo di WebSphere Application Server properties, ad esempio C:\program files\IBM\websphere\appserver\profiles\appsvr01\properties.
    Nota: se è abilitato Cognos, copiare anche il file smagent.properties nella cartella properties del profilo di WebSphere Application Server su cui è presente Cognos.
  19. Configurare TAI (Trust Association Interceptor) su WebSphere Application Server.
    1. Dalla console di gestione di WebSphere Application Server, fare clic su Sicurezza > Sicurezza globale.
    2. In Sicurezza Web e SIP, fare clic su Associazione sicura.
    3. Fare clic su Abilita associazione sicura, quindi su Salva.
    4. Fare clic su Intercettatori.
    5. Eliminare tutti gli intercettori non utilizzati.
      Nota: non eliminare l'intercettatore OAuth.
    6. Fare clic su Nuovo ed immettere il seguente nome per il nuovo intercettatore:

      com.netegrity.siteminder.websphere.auth.SmTrustAssociationInterceptor

    7. Aggiungere la seguente proprietà personalizzata in Sicurezza globale > Proprietà personalizzate: com.ibm.websphere.security.performTAIForUnprotectedURI=true.
    8. Fare clic su OK, quindi su Salva.
      Nota: i server Connections dovrebbero essere protetti sia da SM TAI che da OAuth TAI. Questo è importante per sostenere le funzioni EE e Flusso di attività.
    9. Riavviare WebSphere Application Server.
  20. Creare regole di riscrittura che reindirizzino gli URL quando gli utenti si scollegano da IBM Connections. Aggiungere le seguenti regole al file httpd.conf:

    RewriteEngine On

    RewriteCond %{REQUEST_URI} /(.*)/ibm_security_logout(.*)

    RewriteCond %{QUERY_STRING} !=logoutExitPage=URL_di_scollegamento

    RewriteRule /(.*)/ibm_security_logout(.*)

    URI_scollegamento?logoutExitPage=URL_di_scollegamento [noescape,L,R]

    dove URI_scollegamento è l'URL da cui si è rimosso il commento in precedenza. Dopo essersi scollegati da IBM Connections, il browser dell'utente sarà reindirizzato a URL_di_scollegamento. Questo URL potrebbe essere la home page aziendale o la pagina di accesso di SiteMinder.

    Nota: è necessario aggiungere queste regole sia alle voci HTTP che alle voci HTTPS.

    Il seguente esempio illustra una parte tipica del file httpd.conf dopo aver implementato questo passo: 

    RewriteEngine on
RewriteCond %{REQUEST_URI} /(.*)/ibm_security_logout(.*)
RewriteCond %{QUERY_STRING} !=logoutExitPage=http://corphome.example.com
RewriteRule /(.*)/ibm_security_logout(.*)  /homepage/web/ibm_security_logout?logoutExitPage=http://corphome.example.com [noescape,L,R]
RewriteCond %{REQUEST_URI} !^/blogs/roller-ui/rendering/(.*)
RewriteRule ^/blogs/(.*)/feed/blogs/atom(.*) /blogs/roller-ui/rendering/feed/$1/blogs/atom/ [R,L]

#Connections Config for SSL
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
<IfModule mod_ibm_ssl.c>
Listen 0.0.0.0:443
<VirtualHost *:443>
ServerName connections.example.com
SSLEnable
RewriteEngine on
RewriteCond %{REQUEST_URI} /(.*)/ibm_security_logout(.*)
RewriteCond %{QUERY_STRING} !=logoutExitPage=http://corphome.example.com
RewriteRule /(.*)/ibm_security_logout(.*) /homepage/web/ibm_security_logout?logoutExitPage=http://corphome.example.com [noescape,L,R]
RewriteCond %{REQUEST_URI} !^/blogs/roller-ui/rendering/(.*)
RewriteRule ^/blogs/(.*)/feed/blogs/atom(.*) /blogs/roller-ui/rendering/feed/$1/blogs/atom/ [R,L]

</VirtualHost>
</IfModule>
SSLDisable
    Nota: eliminare il commento dalla riga LoadModule rewrite_module modules/mod_rewrite.so nel file httpd.conf. Questa riga è commentata per impostazione predefinita. Se la riga è commentata, il server Web non viene avviato.
  21. Se si utilizza Cognos, è necessario disabilitare l'MBean per abilitare le metriche. In WebSphere Application Server Integrated Solutions Console, fare clic su Sicurezza > Sicurezza globale > Proprietà personalizzate. Quindi, fare clic su Nuovo per aggiungere la seguente proprietà personalizzata. 
    com.ibm.websphere.security.disableGetTokenFromMBean=false
  22. Salvare e chiudere il file httpd.conf, riavviare il server HTTP e assicurarsi che la pagina SiteMinder sia visualizzata quando gli utenti accedono al server HTTP.
  23. Aggiungere una proprietà authenticator di SiteMinder alla configurazione di IBM Connections modificando il file LotusConnections-config.xml.
    1. Utilizzare il seguente comando per eseguire il checkout del file di configurazione:

      • execfile("root_server_app/profiles/DMGR/bin/connectionsConfig.py")

        Nota: se non viene richiesto a quale server connettersi, immettere 1.

        LCConfigService.checkOutConfig("directory_di_lavoro", "nome_cella")

      dove:
      • root_server_app è la directory di installazione di WebSphere Application Server
      • DMGR è il nome del profilo di Deployment Manager. Ad esempio, Dmgr01.
      • directory_di_lavoro è la directory di lavoro temporanea in cui sono copiati i file di configurazione XML e XSD mentre li si modifica. Utilizzare le barre per separare le directory nel percorso file, anche se si utilizza il sistema operativo Microsoft Windows.
      • nome_cella è il nome della cella di WebSphere Application Server su cui è presente l'applicazione di IBM Connections. Questo argomento è sensibile al maiuscolo/minuscolo. Se il nome della cella non è noto, emettere il seguente comando nel client wsadmin per determinarlo:

        • print AdminControl.getCell()

      Esempio:

      LCConfigService.checkOutConfig("c:/temp","foo01Cell01")

    2. Aggiornare i valori del programma di autenticazione personalizzato emettendo i seguenti comandi:
      1. Configurare il programma di autenticazione personalizzato per supportare l'autenticazione server-server per SiteMinder:

        LCConfigService.updateConfig("customAuthenticator.name",

        "SiteMinderAuthenticator")

      2. Impostare il valore del parametro custom.authenticator.cookieTimeout in modo che sia minore o uguale dei valori di timeout massimo e di timeout di inattività configurati in precedenza. Specificare il valore di timeout in minuti.

        LCConfigService.updateConfig("customAuthenticator.CookieTimeout","timeout"

        dove timeout è un valore espresso in minuti minore o uguale dei valori di timeout di SiteMinder.

      Nota: una volta pronto il proprio ambiente di produzione, impostare il parametro AllowSelfSignedCerts su false.
    3. Eseguire il checkin del file LotusConnections-config.xml emettendo il seguente comando:

      LCConfigService.checkInConfig()

  24. Riavviare la propria distribuzione di IBM Connections.
    1. Arrestare i server di IBM Connections, gli agent dei nomi e il gestore distribuzione.
    2. Avviare il gestore distribuzione e i nodi.
    3. Attendere la sincronizzazione dei nodi e la copia del file LotusConnections-config.xml aggiornato su ogni nodo.
    4. Avviare IBM Connections.

Operazioni successive

Richiedere ai propri utenti di chiudere tutte le finestre del browser quando si scollegano da Attività. Questa precauzione impedisce eventuali problemi di sicurezza che potrebbero verificarsi in quanto il cookie della sessione SiteMinder in una finestra del browser potrebbe essere ancora aggiornato mentre un utente si sta scollegando da un'altra finestra del browser.