Per approcciare l'argomento, si ricorda che il QuickR, così come il QuickPlace,
consente la configurazione di due differenti modalità di autenticazione:
1) autenticazione basata su "Domino Directory" (modalità nativa):
questa configurazione ha il vantaggio di essere semplice da realizzare
(in pratica è l'impostazione di default), inoltre, facilita significativamente
la successiva attività di configurazione del “single sign-on” con WebSphere
Portal
2) autenticazione basata su "LDAP":
questa configurazione richiede qualche variazione successivamente all'installazione
del QuickR, inoltre, rende sicuramente più articolata la successiva attività
di configurazione del “single sign-on” con WebSphere Portal.
D'altra parte, questa tipologia di autenticazione ha comunque l'innegabile
pregio di essere più flessibile e soprattutto più potente (verificare le
numerose opzioni disponibili ed attivabili via qpconfig.xml)
Poichè è funzionale ai fini di questa nota, si ricorda che la documentazione
ufficiale raccomanda per QuickR 8.0.0.2 l'utilizzo della versione 7.0.2
FP1 di Lotus Domino.
Nell'infrastruttura target proposta in questa nota e, riscontrabile piuttosto
frequentemente nelle installazioni di WebSphere Portal in aziende di dimensioni
medio-grandi, si ipotizza la seguente architettura:
- il WebSphere Portal è configurato per autenticarsi su di un LDAP server
dedicato (ad esempio: Tivoli Directory Server oppure Active Directory Server)
- il QuickR è configurato per utilizzare un altro server LDAP (spesso si
tratta di un server Lotus Domino che espone la propria rubrica utenti via
LDAP).
La suddetta architettura viene identificata da IBM come "Dual Directory
Environment" e per questa configurazione, la "techNote"
di riferimento è sicuramente la seguente:
How
to configure SSO between WebSphere Portal and QuickPlace when each use
a different LDAP directory
Leggendo il documento, si evidenzia il seguente passaggio “critico”:
Please note: This configuration does not work when QuickPlace is running
on Domino 7.0.2. It works properly with Domino 7.0.1.
Dunque, poichè la suddetta techNote è applicabile anche a QuickR, si evidenzia
immediatamente un'incompatibilità fra la versione di Lotus Domino raccomandata
per QuickR 8.0.0.2 (appunto la 7.0.2 FP1) e l'inapplicabilità di questa
configurazione alla versione 7.0.2 di Lotus Domino (di fatto viene
consigliato di utilizzare la 7.0.1).
Successivamente alla segnalazione dell'esigenza di integrazione al supporto
IBM, grazie alla notevole conoscenza dell'argomento da parte del responsabile
che ha seguito la "call" (thank
you again mr. Van Staub) nel giro
di un paio di giorni si è arrivati al rapido rilascio della nuova HF 11
per QuickR, contenente anche la fix per il corretto SSO di QuickR in architettura
"Dual Directory Environment".
Per concludere, aggiungo che Van Staub è uno dei principali curatori del
forum "Domino
Portal Integration", sito
che penso possa rivelarsi molto utile a tutti coloro che si occupano di
integrazioni fra Lotus Domino/QuickR/Sametime e WebSphere Portal.
“Single Sign-on” tra WebSphere Portal & QuickR 8.0.0.2
- 03/20/2008
- 1 commenti
1 Commenti:
Gran bel post. Questo mi chiarisce perchè quando ho fatto l'upgrade alla 7.0.2 di domino con portal in quella configurazione (era domino senza quickr) tutto smise di funzionare e tornai indietro.
Adesso salterò direttamente a domino 8.0.1 più quickr 8.1 ma non è male scoprire che c'è sempre il perchè.
Ricordo che quella technote è valida a prescindere e in caso di ambiente portal permette di fare login con le credenziali dell'LDAP esterno (nel mio caso Tivoli Directory Server) ma di avere un mapping "al volo" verso i documenti persona/notes names quando si opera sul server domino.
A me questa cosa ha permesso di avere il meglio dei due mondi. Nomi notes, id e security classica da una parte. SSO con portal dall'altra.