Activation de l'authentification via Talend Administration Center

Talend Data Fabric Guide d'installation pour Windows

EnrichVersion
6.2
EnrichProdName
Talend Data Fabric
task
Installation et mise à niveau
EnrichPlatform
Studio Talend
Talend Activity Monitoring Console
Talend Administration Center
Talend Artifact Repository
Talend CommandLine
Talend DQ Portal
Talend ESB
Talend Identity Management
Talend Installer
Talend JobServer
Talend Log Server
Talend MDM Server
Talend MDM Web UI
Talend Project Audit
Talend Repository Manager
Talend Runtime
Talend SAP RFC Server

Par défaut, vous créez et gérez des utilisateurs dans MDM depuis l'interface Web MDM. Cependant, il est également possible de configurer MDM pour authentifier les utilisateurs MDM via Talend Administration Center. Ceci permet d'éviter de créer de nouveaux utilisateurs en partant de zéro et minimise les tâches de maintenance relatives à la gestion des utilisateurs en les centralisant dans un seul et même emplacement.

Activation de l'authentification via Talend Administration Center

Pour configurer Talend MDM afin d'authentifier les utilisateurs via Talend Administration Center, vous devez dans un premier temps activer cette authentification dans le fichier de configuration de MDM et fournir certaines informations liées à votre installation de Talend Administration Center.

Notez que, même si l'authentification s'effectue dans Talend Administration Center, l'autorisation a bien lieu dans la base de données MDM.

Par conséquent, les utilisateurs de Talend Administration Center et de MDM doivent être synchronisés. Ce qui signifie que les noms utilisateur et les adresses e-mail doivent être cohérents.

Un moyen d'y parvenir peut être de créer un Job qui retourne une liste d'utilisateurs de la MetaServlet de Talend Administration Center et crée, supprime et met à jour les informations des utilisateurs dans MDM ainsi que tout changement effectué dans Talend Administration Center. De plus, si le système d'authentification de Talend Administration Center ne parvient pas à trouver l'utilisateur qui tente de s'authentifier, celui-ci re-vérifie également dans la base de données MDM.

Avertissement

Si vous modifiez les informations d'authentification de Talend Administration Center pour l'utilisateur administrateur avant d'effectuer le même changement dans MDM, il se peut que vous n'ayez plus accès à MDM car l'identifiant Talend Administration Center n'est pas le même que celui de l'identifiant administrateur MDM.

Pour configurer l'authentification via Talend Administration Center :

  1. Dans <$INSTALLDIR>\conf, ouvrez le fichier jaas_tac.conf.

    Ce fichier est un modèle qui contient les informations de configuration supplémentaires liées à Talend Administration Center.

  2. Mettez à jour les informations du tableau ci-dessous avec les informations appropriées pour votre installation.

    nom module-optionObjectifExemple
    tacUrl

    Fournit l'URL utilisée pour accéder à Talend Administration Center, notamment le port.

    http://localhost:8080/org.talend.administrator

    http://your-company.com:8080/org.talend.administrator

    useEmailAddress

    Dans Talend Administration Center, les noms utilisateur sont toujours sous forme d'adresse e-mail. Dans MDM, ce n'est pas le cas par défaut.

    • Passez cette option à true si les noms utilisateur dans MDM ne sont pas sous la forme d'adresses e-mail. Par conséquent, lorsqu'un utilisateur se connecte à Talend Administration Center avec un nom utilisateur qui n'est pas sous la forme d'une adresse e-mail, une recherche est effectuée dans la base de données MDM pour récupérer l'adresse e-mail correspondante, qui est ensuite utilisée pour authentifier l'utilisateur dans Talend Administration Center.

    • Passez cette option à false si les noms utilisateur dans MDM sont déjà sous la forme d'adresses e-mail.

    true

    false

    forbidsLoginByMDM

    Indique s'il faut retourner à l'authentification MDM lorsqu'un utilisateur ne réussit pas à s'authentifier à Talend Administration Center.

    false

  3. Enregistrez vos changements sous le nom de fichier jaas.conf.

    Avertissement

    Puisque cette action a pour effet de remplacer le fichier jaas.conf existant, il est fortement recommandé de faire une copie de sauvegarde du fichier jaas.conf existant et/ou de copier toutes les informations de configuration pertinentes dans votre nouveau fichier.

  4. Redémarrez votre serveur MDM afin de prendre en compte vos modifications.

Activation de l'authentification via LDAP

Pour configurer MDM afin qu'il intègre un répertoire LDAP existant d'utilisateurs, vous devez activer l'authentification via LDAP dans le fichier de configuration MDM et renseigner certaines informations relatives à votre installation LDAP.

Si tous les utilisateurs MDM sont définis dans LDAP :

  1. Démarrez le serveur MDM en mode authentification locale (par défaut) et connectez-vous à Talend MDM Web User Interface avec un utilisateur administrateur.

  2. Assurez-vous que l'utilisateur LDAP ayant le même identifiant que l'utilisateur administrator créé par défaut existe.  :

    Si ce n'est pas le cas, dans la page [Manage Users], créez un nouvel utilisateur ayant le même UUID que celui utilisé par LDAP et les droits administration et System_Admin, enregistrez vos changements et arrêtez le serveur MDM.

  3. Suivez la procédure de configuration de l'authentification via LDAP (voir plus bas).

Si certains utilisateurs techniques (comme administrator) ne sont pas définis dans LDAP :

Si l'utilisateur MDM défini dans Talend MDM Web User Interface est introuvable dans le répertoire LDAP, vous devez faire en sorte que le serveur considère les utilisateurs MDM existants lors de l'authentification.

  1. Pour configurer cette opération, ouvrez le fichier <$INSTALLDIR>\conf\jaas_ldap.conf.

    Le fichier jaas_ldap.conf est un modèle contenant les informations de configuration relatives à LDAP.

  2. Changez la valeur du module d'identification LDAP en sufficient et liez les modules d'identification LDAP et MDM.

    Vous pouvez utiliser une authentification LDAP directe ou indirecte.

    Pour une procédure complète concernant l'utilisation de l'authentification indirecte LDAP, consultez l'article de la base de connaissances https://help.talend.com/pages/viewpage.action?pageId=190513506 (en anglais).

    Un exemple d'utilisation de l'authentification directe LDAP (LdapDirect=true) est présenté ci-dessous :

    MDM {  
      com.amalto.core.server.security.jaas.LDAPLoginModule sufficient
      useFirstPass=false
      java.naming.factory.initial="com.sun.jndi.ldap.LdapCtxFactory"
      java.naming.security.authentication="simple"
      java.naming.provider.url="ldap://localhost:10389"
      LdapDirect=true
      principalDNPrefix="cn="
      principalDNSuffix=",ou=talend,dc=example,dc=com";
    };
    TDSC {  
      com.amalto.core.server.security.jaas.LDAPLoginModule sufficient
      useFirstPass=false
      java.naming.factory.initial="com.sun.jndi.ldap.LdapCtxFactory"
      java.naming.security.authentication="simple"
      java.naming.provider.url="ldap://localhost:10389"
      LdapDirect=true
      principalDNPrefix="cn="
      principalDNSuffix=",ou=talend,dc=example,dc=com";  
    };

    Un exemple d'utilisation de l'authentification indirecte LDAP (LdapDirect=false) est présenté ci-dessous :

    MDM {  
      com.amalto.core.server.security.jaas.LDAPLoginModule sufficient
      useFirstPass=false
      java.naming.factory.initial="com.sun.jndi.ldap.LdapCtxFactory"
      java.naming.security.authentication="simple"
      java.naming.provider.url="ldap://localhost:10389"
      LdapDirect=false
      LdapAdminDN="uid=admin,ou=system"
      LdapAdminPassword=secret
      searchBase="ou=talend,dc=example,dc=com"
      searchFilter="(&(objectClass=*)&(cn={0}))";
    };
    TDSC {  
      com.amalto.core.server.security.jaas.LDAPLoginModule sufficient
      useFirstPass=false
      java.naming.factory.initial="com.sun.jndi.ldap.LdapCtxFactory"
      java.naming.security.authentication="simple"
      java.naming.provider.url="ldap://localhost:10389"
      LdapDirect=false
      LdapAdminDN="uid=admin,ou=system"
      LdapAdminPassword=secret
      searchBase="ou=talend,dc=example,dc=com"
      searchFilter="(&(objectClass=*)&(cn={0}))";
    };
  3. Si nécessaire, vous pouvez configurer un mot de passe crypté pour le paramètre LdapAdminPassword, pour des questions de sécurité. Pour plus d'informations concernant le cryptage des mots de passe à l'aide du CommandLine, consultez Crypter les mots de passe à l'aide du CommandLine.

  4. Enregistrez vos changements. Si le module d'identification LDAP (indiqué comme sufficient) aboutit, c'est-à-dire que l'utilisateur existe à la fois dans LDAP et dans MDM, le processus d'authentification s'arrête. S'il échoue, c'est-à-dire que l'utilisateur n'existe pas dans LDAP, l'authentification se poursuit avec le module d'identification MDM (indiqué comme required).

  5. Effectuez la procédure qui suit pour mettre à jour la configuration LDAP en fonction de votre installation.

Pour configurer l'authentification via LDAP :

  1. Dans le répertoire <$INSTALLDIR>\conf, ouvrez le fichier jaas_ldap.conf.

  2. Mettez à jour les informations présentées dans le tableau ci-dessous avec les détails appropriés pour votre installation.

    Nom du module-de l'optionObjectifExemple

    java.naming.factory.initial

    Indique la bibliothèque/Factory LDAP à utiliser.

    com.sun.jndi.ldap.LdapCtxFactory

    useFirstPass

    Indique s'il faut utiliser l'identifiant et le mot de passe stockés pour l'authentification.

    false

    java.naming.security.authentication

    Indique le schéma d'authentification LDAP, pouvant être none, simple ou strong.

    simple

    java.naming.provider.url

    Fournit l'URL du serveur LDAP, port compris.

    ldap://monet:389

    ldap://your-company.com:3268

    LdapDirect

    Spécifie la méthode d'authentification LDAP à utiliser.

    • Lorsque cette option est définie sur true, une tentative directe de construction du DN (distinguished name) de l'utilisateur est effectuée en utilisant le nom de l'utilisateur. Dans ce cas, les paramètres principalDNPrefix et principalDNSuffix doivent être définis.

    • Lorsque cette option est définie sur false, la méthode d'authentification indirecte est utilisée, dans laquelle l'utilisateur admin doit parcourir le répertoire LDAP pour trouver le DN correspondant au nom de l'utilisateur en question. Dans ce cas, les paramètres LdapAdminDN, LdapAdminPassword, searchBase et searchFilter doivent être définis.

    true

    false

    principalDNPrefix

    Spécifie le préfixe facultatif à ajouter au nom d'utilisateur afin de construire le DN de la méthode directe.

    cn=

    principalDNSuffix

    Spécifie le suffixe facultatif pour ajouter le nom d'utilisateur afin de construire le DN de la méthode directe.

    ,ou=talend,dc=example,dc=com

    LdapAdminDN

    Spécifie le DN de l'administrateur d'un répertoire.

    uid=admin,ou=system

    LdapAdminPassword

    Spécifie le mot de passe de l'administrateur d'un répertoire.

    mot de passe plein texte : secret

    mot de passe crypté : pYxdPApRyZ3OYOR+NpqpQg==,Encrypt

    searchBase

    Définit l'emplacement, dans le répertoire, où commence la recherche LDAP.

    ou=talend,dc=example,dc=com

    searchFilter

    Définit les critères de recherche LDAP.

    (&(objectClass=*)&(cn={0}))

  3. Enregistrez vos changements sous le nom de fichier jaas.conf.

    Avertissement

    Cette action ayant pour effet le remplacement du fichier jaas.conf existant, il est fortement recommandé de faire au préalable une copie de sauvegarde du fichier jaas.conf existant et/ou de copier toutes les informations de configuration pertinentes dans votre nouveau fichier.

  4. Redémarrez votre serveur MDM pour prendre en compte ces changements.

Synchronisation de votre répertoire LDAP avec Talend MDM

Afin de synchroniser le répertoire LDAP avec Talend MDM, vous pouvez :

  1. Créer un groupe spécifique d'utilisateurs de TalendMDM dans le répertoire LDAP.

  2. Créer un Job extrayant les informations relatives aux comptes utilisateurs dans le groupe TalendMDM du répertoire LDAP.

  3. Insérer ces comptes en tant qu'utilisateurs dans le conteneur de données PROVISIONING, à l'aide du composant tMDMBulkLoad.

Note

Les champs username, familyname, realemail, viewrealemail, registrationdate, enabled et role doivent tous être renseignés car ils sont obligatoires lors de la création d'un utilisateur.