Activación de la autenticación externa de usuarios

Este artículo contiene los siguientes temas:
casm173
Este artículo contiene los siguientes temas:
De forma predeterminada, CA Service Catalog utiliza CA EEM para autenticar a los usuarios. Se puede configurar CA Service Catalog para autenticar a los usuarios con aplicaciones externas, tales como CA SiteMinder o IBM Tivoli, entre otros. El proceso consta de las siguientes tareas:
  1. Instalación e implementación de la aplicación de autenticación externa de acuerdo a las instrucciones proporcionadas en la documentación.
  2. Revisión de los siguientes ejemplos y comprensión de cómo estas aplicaciones suelen enviar la autenticación del usuario a CA Service Catalog. En caso necesario, se deben ajustar los valores de configuración para que coincidan con estos ejemplos.
    • CA SiteMinder envía la información de identidad del usuario (usuario autenticado) con el nombre del artefacto sm-user en el encabezado de la solicitud.
    • IBM Tivoli envía la información de identidad del usuario con el nombre del artefacto iv_user en el encabezado de la solicitud.
    • Microsoft Internet Information Server (IIS) envía la información de identidad del usuario con la solicitud cuando se configura para NTLM de Windows.
    • Apache envía la información de identidad del usuario con la solicitud cuando se configura para NTLM de Windows.
  3. Prueba de la configuración tanto en CA Service Catalog como en la aplicación de autenticación externa.
  4. Verificación del recibo y procesamiento correcto de los usuarios que transmite la aplicación de autenticación externa por parte de CA Service Catalog. Si es necesario, se deben ajustar los parámetros en ambos sistemas.
  5. Configuración del inicio de sesión único para el método de autenticación que se esté utilizando:
Configuración del inicio de sesión único mediante la autenticación NTLM de Windows
Cuando se utiliza la autenticación NTLM de Windows, se puede realizar este procedimiento para activar el inicio de sesión único para CA Service Catalog. Cuando los usuarios inician sesión en el dominio de Windows, pueden acceder a CA Service Catalog sin necesidad de iniciar sesión en él.
Siga estos pasos:
  1. Asegúrese de que
    no
    va a utilizar el agrupamiento en clúster. Si desea utilizar el agrupamiento en clúster, debe configurar la autenticación NTLM para cada clúster, en lugar de llevar a cabo este procedimiento.
  2. Verifique que el entorno cumple los siguientes requisitos:
    • Se está utilizando la autenticación de dominios de Windows.
    • CA Service Catalog y CA EEM están instalados en el mismo dominio de Windows.
    • Se ha configurado CA EEM para utilizar Active Directory.
      Se está ejecutando una versión de HTTP
      superior
      a la versión 1.0.
    • Si se utiliza Windows Server, se debe realice una de las tareas siguientes para utilizar el inicio de sesión único mediante NTLM:
      • Utilización de HTTP en lugar de HTTPS
      • Desinstalación del componente de Windows Configuración de seguridad mejorada de IE
    • Si se cumplen las dos condiciones siguientes, no se puede utilizar el inicio de sesión único mediante NTLM con HTTPS:
      • El sistema operativo del equipo cliente es Windows Server.
      • El componente de Windows Configuración de seguridad mejorada de IE está instalado.
  3. Realice las siguientes acciones:
    1. Haga clic en
      Administración
      ,
      Configuración
      ,
      Autenticación de inicio de sesión único
      .
    2. Localice la propiedad
      Tipo de inicio de sesión único
      y haga clic en el icono de modificación.
    3. Seleccione la opción
      NTLM (Gestor de la LAN de Windows NT)
      y haga clic en
      Actualizar configuración
      .
      Se cierra el cuadro de diálogo y se vuelve a la página Autenticación de inicio de sesión único.
  4. Verifique que todos los usuarios afectados pueden utilizar el inicio de sesión único para acceder a CA Service Catalog en este equipo.
Se ha configurado la autenticación NTLM.
Implementación del inicio de sesión único para un grupo de usuarios y el inicio de sesión manual para otro grupo
En este caso de uso, se desea activar el inicio de sesión único para un grupo de usuarios concreto. Por ejemplo, los usuarios internos (Grupo 1). Sin embargo, también se desea forzar el inicio de sesión manual para otro grupo de usuarios. Por ejemplo, los usuarios externos, como contratistas, distribuidores y clientes (Grupo 2).
Siga los pasos siguientes:
  1. Verifique que dispone de dos equipos con CA Service Catalog que utilizan las mismas instancias de CAMDB y CA EEM. Este procedimiento llama a los equipos de CA Service Catalog
    Servidor 1
    y
    Servidor 2
    , respectivamente.
  2. Verifique los siguientes requisitos:
    • Los usuarios del Grupo 1 inician sesión
      únicamente
      en el Servidor 1.
    • Los usuarios del Grupo 2 inician sesión
      únicamente
      en el Servidor 2.
    • Si es necesario, notifique a los usuarios de cada grupo acerca de este requisito.
  3. En el Servidor 2, edite el archivo USM_HOME\webapps\usm\WEB-INF\web.xml. Comente las líneas siguientes:
    <!-- <filter> <filter-name>NtlmAuthFilter</filter-name> <filter-class>com.ca.usm.httpfilter.NtlmAuthenticationFilter</filter-class> <init-param> <param-name>debug</param-name> <param-value>false</param-value> </init-param> </filter> --> <!-- <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>*.rpc</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/wpf/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/uslm/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/assure/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/documents/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>NtlmAuthFilter</filter-name> <url-pattern>/FileStore/*</url-pattern> </filter-mapping> -->
    Al agregar comentarios en estas líneas, se desactiva la funcionalidad de inicio de sesión único del equipo de CA Service Catalog.
  4. Reinicie CA Service Catalog.
Configuración del inicio de sesión único mediante la autenticación externa
Cuando se utiliza el método de autenticación externa, se puede realizar este procedimiento para activar el inicio de sesión único para CA Service Catalog. Los usuarios configurados en el sistema de autenticación externa pueden acceder a CA Service Catalog sin necesidad de iniciar seseión en él.
Siga los pasos siguientes:
  1. Verifique que CA Service Catalog y CA EEM están instalados en el mismo dominio de Windows.
  2. Inicie sesión en la instancia de CA Service Catalog que está en ejecución en este equipo.
  3. Realice las siguientes acciones:
    1. Haga clic en
      Administración
      ,
      Configuración
      ,
      Autenticación de inicio de sesión único
      .
    2. Localice la propiedad
      Tipo de inicio de sesión único
      y haga clic en el icono de modificación.
    3. Seleccione la opción
      Inicio de sesión único basado en artefacto
      y haga clic en
      Actualizar configuración
      .
      Se cierra el cuadro de diálogo y se vuelve a la página Autenticación de inicio de sesión único.
  4. Verifique que todos los usuarios afectados pueden utilizar el inicio de sesión único para acceder a CA Service Catalog en este equipo.
Se ha configurado la autenticación externa distinta de NTLM de Windows.