Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 11. Installation de Red Hat JBoss BPM Suite avec Red Hat SSO.

Note

L'intégration de la BPM Suite avec le nouveau service Red Hat Single Sign-On (RH-SSO) à venir est offert gracieusement aux clients qui veulent essayer les dernières fonctionnalités de dernières sorties de version majeures, et qui peuvent avoir besoin d'un support si des problèmes surgissent.
Les composants d'intégration de la BPM Suite seront totalement pris en charge, ce qui inclut l'utilisation en production et les correctifs de bogues, mais le support du composant Red Hat SSO sous-jacent sera limité à la fonctionnalité Gestion Groupe et Utilisateur jusqu'à la sortie de la version RH-SSO GA. Le support limité de RH-SSO devrait inclure les cas de support technique de niveau de sévérité 4, l'accès à la base de données et les solutions de contournement, si disponibles. Tous les correctifs de bogue seront revus et considérés pour les versions à venir.
Quand RH-SSO sera en GA, les clients pourront utiliser tout son potentiel, en plus des scénarios intégrés de la Red Hat BPM Suite.
Red Hat Single Sign-On (RH-SSO) est une solution SSO que vous pouvez utiliser pour sécuriser vos applications de navigateur et vos services web REST. Ce chapitre décrit comment intégrer RH-SSO dans Red Hat JBoss BPM Suite et tirer partie de ses fonctionnalités.
L'intégration avec RH-SSO nous apporte un environnement SSO et IDM (Identity Management) intégrés pour Red Hat JBoss BPM Suite. De plus, cela vous permet d'utiliser vos comptes de connexion sociaux pour accéder à JBoss BPM Suite. La fonctionnalité de gestion de session de RH-SSO vous permet d'utiliser des environnements JBoss BPM Suite sur le web en authentifiant une seule fois.
Pour obtenir plus d'informations sur RH-SSO, consulter documentation RH-SSO.
Points d'intégration de Red Hat SSO

Comme Red Hat JBoss BPM Suite a plusieurs Intelligent Process Servers autonomes, vous pouvez intégrer RH-SSO en utilisant les points d'intégration suivants :

  • Authentification Business Central via serveur RH-SSO
    Authentifier JBoss BPM Suite Business Central via RH-SSO implique de sécuriser le client web de Business Central et les services à distance via RH-SSO. Cette intégration vous permet de vous connecter à Business Central par une interface web ou par un consommateur de services à distance via RH-SSO.
  • Authentification Intelligent Process Server via serveur RH-SSO
    Authentifier JBoss BPM Suite Intelligent Process Server via RH-SSO implique de sécuriser les services à distance fournis par Intelligent Process Server car cela ne procure pas d'interface web pour l'authentification du serveur. Cela permet à un consommateur de service (utilisateur ou service) BPM Suite de s'authentiquer via RH-SSO.
  • Authentification de tierce partie via serveur RH-SSO
    Authentifier un client de tierce partie par l'intermédiaire d'un serveur RH-SSO implique que les clients de tierce partie s'authentifient eux-mêmes par RH-SSO, afin de consommer les points de terminaison du service à distance fourni par Business Central et Intelligent Process Server.
Les sections suivantes décrivent comment réaliser une intégration RH-SSO par ces points d'intégration.

11.1. Authentification Business Central via RH-SSO
Copier lien

Pour authentifier Business Central via RH-SSO :
  1. Installer et exécuter un serveur RH-SSO avec un domaine client dans Business Central.
  2. Installer et configurez l'adaptateur client RH-SSO dans EAP.
  3. Sécuriser Business Central Remote Service via RH-SSO.
  4. Créer un client RH-SSO et configurer l'adaptateur client RH-SSO dans Dashbuilder (BAM).
Les domaines de sécurité sont utilisés pour restreindre l’accès à différentes ressources d'applications. Si vous intégrez Red Hat JBoss BPM Suite dans une instance de RH-SSO déjà déployée, il est inutile d’ajouter un domaine. Si vous intégrez avec une instance de RH-SSO qui est partagée avec d’autres installations de produits pour pouvoir faire un SSO avec ces applications, toutes ces applications doivent utiliser le même domaine.
Voici comment vous pouvez installer un serveur RH-SSO et créer un domaine de sécurité dans Business Central :

Procédure 11.1. Configurer RH-SSO avec un domaine client

  1. Installer et configurer un serveur autonome RH-SSO. Pour cela, suivre les instructions du Guide d'installation RH-SSO.

    Note

    Si vous souhaitez exécuter à la fois les serveurs RH-SSO et Red Hat JBoss BPM Suite sur la même machine, veillez à éviter les conflits de ports. Pour cela, procédez ainsi :
    • Mettez à jour le fichier $RHSSO_HOME/standalone/configuration/standalone.xml et définissez le décalage de port à 100. Exemple : 
      <socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:100}">
      Copy to Clipboard Toggle word wrap
    • Utiliser une variable d'envirionnement pour exécuter le serveur : 
      bin/standalone.sh -Djboss.socket.binding.port-offset=100
      Copy to Clipboard Toggle word wrap
  2. Démarrez le serveur RH-SSO en utilisant la commande suivante dans $RHSSO_HOME/bin: 
    ./standalone.sh
    Copy to Clipboard Toggle word wrap
    Une fois que le serveur RH-SSO a démarré, ouvrir http://localhost:8180/auth/admin dans un navigateur web, et connectez-vous à l'aide de vos identifiants admin que vous avez créés lors de l'installation de RH-SSO.

    Note

    Si vous n'avez pas créé d'utilisateur RH-SSO admin pendant l'installation, vous pourrez en créer un en naviguant dans $RHSSO_HOME/bin par la commande suivante  : 
    ./add-user.sh -r master -u admin -p <ADMIN_PASSWORD>
    Copy to Clipboard Toggle word wrap
  3. Dans la console admin RH-SSO, cliquer sur l'onglet Configurations de domaine.
  4. Dans la page Configurations de domaine, cliquer sur Ajouter Domaine.
    La page Ajouter Domaine s'ouvrira.
  5. Dans la page Ajouter Domaine, donner un nom au domaine et cliquer sur Créer.
  6. Cliquer sur l'onglet Client dans le menu principal d'administration de console, et cliquer sur Créer.
    La page Ajouter Client s'ouvrira.
  7. Dans la page Ajouter Client, fournir les informations requises pour créer un nouveau client pour votre domaine. Exemple :
    • ID Client : kie
    • Protocole Client : openid-connect
    • Type d'accès : confidentiel
    • URL Root : http://localhost:8080
    • URL de base : /business-central
    • URI de redirection valides: /business-central/*

      Note

      Les valeurs des URI de redirection valides et l'URL de base doivent correspondre à votre nom de contexte d'application Red Hat JBoss BPM Suite et la valeur de l'URL Root doit correspondre à l'URL de base HTTP de votre application.
  8. Cliquez Enregistrer pour enregistrer vos modifications.
    À ce stade, le serveur RH-SSO est configuré avec un domaine et un client pour des applications de Red Hat JBoss Suite BPM (Business Centre, dans cet exemple) et en cours d’exécution, à l’écoute des connexions HTTP à localhost:8180. Ce domaine fournit différents utilisateurs, rôles et sessions pour les applications de Red Hat JBoss Suite BPM.

11.1.2. Configurer l'adaptateur client RH-SSO dans EAP
Copier lien

Pour configurer l'adaptateur client RH-SSO dans EAP :
  1. Installer l'adaptateur RH-SSO dans EAP.
  2. Configurez l'application Red Hat JBoss BPM Suite et l'adaptateur client RH-SSO.

Procédure 11.2. Installer l'adaptateur de client RH-SSO dans EAP

  1. Installer EAP 6.4.x. Consulter Chapitre 2. Instructions d'installation du Guide d'installation de Red Hat JBoss Enterprise Application Platform.
  2. Télécharger l'adaptateur EAP de la la page de téléchargements de BPM Suite.
  3. Décompressez et installez l'adaptateur. Pour obtenir des instructions sur l'installation, voir Installer des adaptateurs pour Red Hat SSO dans le Guide d'installation RH-SSO.

Procédure 11.3. Configurez l'adaptateur RH-SSO

  1. Naviguez dans $JBOSS_EAP/standalone/configuration dans votre installation EAP et modifier standalone.xml pour pouvoir ajouter la configuration du sous-système RH-SSO. Exemple : 
    <subsystem xmlns="urn:jboss:domain:keycloak:1.1">  
 <secure-deployment name="business-central.war">  
   <realm>demo</realm>  
   <realm-public-key>MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrVrCuTtArbgaZzL1hvh0xtL5mc7o0NqPVnYXkLvgcwiC3BjLGw1tGEGoJaXDuSaRllobm53JBhjx33UNv+5z/UMG4kytBWxheNVKnL6GgqlNabMaFfPLPCF8kAgKnsi79NMo+n6KnSY8YeUmec/p2vjO2NjsSAVcWEQMVhJ31LwIDAQAB</realm-public-key>  
   <auth-server-url>http://localhost:8180/auth</auth-server-url>  
   <ssl-required>external</ssl-required>  
   <enable-basic-auth>true</enable-basic-auth>  
   <resource>kie</resource>  
   <credential name="secret">password</credential>  
   <principal-attribute>preferred_username</principal-attribute>  
 </secure-deployment>  
</subsystem>
    Copy to Clipboard Toggle word wrap
    Voici ici,
    • secure-deployment name: nom du fichier WAR de votre application.
    • realm: nom du domaine que vous avez créé à utiliser pour vos applications.
    • realm-public-key: clé publique du domaine que vous avez créé. Vous pourrez la trouver dans l'onglet Clés qui se trouve dans la page de domaine Configurations Domaine que vous avez créée dans la console d'administration RH-SSO. Si vous ne donnez aucune valeur à realm-public-key, le serveur en extraira une automatiquement.
    • auth-server-url: URL du serveur d'authentification RH-SSO.
    • enable-basic-auth: paramètre pour activer le mécanisme d’authentification de base, afin que les clients puissent utiliser les deux méthodes d’authentification: basée jetons ou de base pour exécuter les requêtes.
    • resource: nom du client que vous avez créé.
    • credential name: clé secrète du client que vous avez créé. Vous pourrez la trouver dans l'onglet Informations d'identification dans la page Clients de la console d'administration RH-SSO.
    • principal-attribute: le nom de connexion de l'utilisateur. Si vous ne procurez pas cette information, votre ID Utilisateur s'affichera à la place de votre nom d'utilisateur dans l'application.

      Note

      Le serveur RH-SSO convertit en minuscules les noms d’utilisateurs. Donc, après l'intégration avec RH-SSO, votre nom d’utilisateur apparaîtra en minuscules dans Business Central. Si vous avez des noms d’utilisateur en lettres majuscules codées en dur dans les processus métier, l’application n’est peut-être pas en mesure d’identifier les majuscules dans l’utilisateur.
  2. Naviguez dans $EAP_Home/bin/ et démarrez le serveur EAP par la commande suivante : 
    ./standalone.sh
    Copy to Clipboard Toggle word wrap
    Vous pouvez maintenant vous connecter à votre application Red Hat BPM Suite (pour cet exemple, Business Central) une fois que le serveur exécute avec les identifiants admin RH-SSO.

Note

Vous pouvez également configurer l'adaptateur RH-SSO dans EAP en mettant à jour votre fichier WAR d'applications pour utiliser le sous-système de sécurité RH-SSO. Cependant, l’approche recommandée consiste à configurer l’adaptateur dans le sous-système de RH-SSO. Cela signifie que vous mettez à jour configuration EAP au lieu d’appliquer la configuration sur chaque fichier WAR.

11.1.3. Sécuriser Business Central Remote Service via RH-SSO.
Copier lien

Business Central fournit des points de terminaison de services à distance différents pouvant être consommés par des clients tiers à l’aide d’une API distante. Pour authentifier ces services par l’entremise de RH-SSO, vous devez désactiver un filtre de sécurité nommé BasicAuthSecurityFilter. Pour ce faire, procédez comme suit :

Procédure 11.4. Désactiver BasicAuthSecurityFilter

  1. Ouvrir votre fichier de descripteur de déploiement d'applications (WEB-INF/web.xml) et appliquez-y les changements suivants :
    • Supprimer les lignes suivantes pour supprimer le filtre du servlet et ses mappages pour la classe org.uberfire.ext.security.server.BasicAuthSecurityFilter : 
      <filter>  
    <filter-name>HTTP Basic Auth Filter</filter-name>  
    <filter-class>org.uberfire.ext.security.server.BasicAuthSecurityFilter</filter-class>  
    <init-param>  
      <param-name>realmName</param-name>  
      <param-value>KIE Workbench Realm</param-value>  
    </init-param>  
  </filter>  
  
  
  <filter-mapping>  
    <filter-name>HTTP Basic Auth Filter</filter-name>  
    <url-pattern>/rest/*</url-pattern>  
    <url-pattern>/maven2/*</url-pattern>  
    <url-pattern>/ws/*</url-pattern>  
  </filter-mapping>
      Copy to Clipboard Toggle word wrap
    • Ajouter les lignes suivantes pour ajouter la security-constraint aux url-patterns que vous avez supprimés du mappage de filtre : 
      <security-constraint>  
    <web-resource-collection>  
      <web-resource-name>remote-services</web-resource-name>  
      <url-pattern>/rest/*</url-pattern>  
      <url-pattern>/maven2/*</url-pattern>  
      <url-pattern>/ws/*</url-pattern>  
    </web-resource-collection>  
    <auth-constraint>  
      <role-name>rest-all</role-name>  
    </auth-constraint>  
  </security-constraint>
      Copy to Clipboard Toggle word wrap
  2. Enregistrez vos modifications.
Une fois que vous aurez créé un client de domaine dans Business Central et configuré votre adaptateur client RH-SSO dans EAP, vous pourrez répéter les mêmes étapes pour intégrer BAM avec RH-SSO. Après l’intégration des RH-SSO dans BAM, vous pouvez naviguer dans Business Central et BAM sans avoir à vous re-connecter.

Procédure 11.5. Intégrer RH-SSO dans BAM

  1. Dans la console d'administration RH-SSO, ouvrir le domaine de sécurité que vous avez créé.
  2. Cliquer sur l'onglet Client dans le menu principal d'administration de console, et cliquer sur Créer.
    La page Ajouter Client s'ouvrira.
  3. Dans la page Ajouter Client, fournir les informations requises pour créer un nouveau client BAM pour votre domaine. Exemple :
    • Nom : dashbuilder
    • URL Root : http://localhost:8080
    • Protocole Client : openid-connect
    • Type d'accès : confidentiel
    • URI de redirection valides: /dashbuilder/*
    • URL de base: /dashbuilder

    Note

    Le chemin de contexte de l'application Dashbuilder est dashbuilder par défaut.
  4. Configurer l'adaptateur client RH-SSO. Pour ce faire, naviguez dans $JBOSS_EAP/standalone/configuration dans votre installation EAP et modifier standalone.xml pour pouvoir ajouter la configuration du sous-système RH-SSO. Exemple : 
    <secure-deployment name="dashbuilder.war">  
     <realm>demo</realm>  
     <realm-public-key>MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrVrCuTtArbgaZzL1hvh0xtL5mc7o0NqPVnYXkLvgcwiC3BjLGw1tGEGoJaXDuSaRllobm53JBhjx33UNv+5z/UMG4kytBWxheNVKnL6GgqlNabMaFfPLPCF8kAgKnsi79NMo+n6KnSY8YeUmec/p2vjO2NjsSAVcWEQMVhJ31LwIDAQAB</realm-public-key>  
     <auth-server-url>http://localhost:8180/auth</auth-server-url>  
     <ssl-required>external</ssl-required>  
     <resource>dashbuilder</resource>  
     <enable-basic-auth>true</enable-basic-auth>  
     <credential name="secret">e92ec68d-6177-4239-be05-28ef2f3460ff</credential>  
     <principal-attribute>preferred_username</principal-attribute>  
  </secure-deployment>
    Copy to Clipboard Toggle word wrap
    Voici ici,
    • secure-deployment name: nom du fichier BAM en cours de déploiement.
    • realm-public-key: clé publique du domaine que vous avez créé.
    • resource: nom du client que vous avez créé pour BAM (dashbuilder).
    • enable-basic-auth: paramètre pour activer le mécanisme d’authentification de base, afin que les clients puissent utiliser les deux méthodes d’authentification: basée jetons ou de base pour exécuter les requêtes.
    • credential name: clé secrète du client que vous avez créé pour BAM. Vous pourrez la trouver dans l'onglet Informations d'identification dans la page Clients de la console d'administration RH-SSO.
    • principal-attribute: le nom de connexion de l'utilisateur. Si vous ne procurez pas cette information, votre ID Utilisateur s'affichera à la place de votre nom d'utilisateur dans l'application.
  5. Redémarrez le serveur EAP et ouvrir http://localhost:8080/dashbuilder dans un navigateur web pour accéder BAM. Connectez-vous à BAM par le biais de vos identifiants admin RH-SSO.
    Vous pouvez maintenant accéder aux deux applications (Business Central et BAM) sans avoir à vous re-connecter.
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat