Synchronisation des utilisateurs

Dernière mise à jour : 30 avril 2024
  • Rubriques :

Créé pour :

  • Administration

Présentation

Lorsque le déploiement est une ferme de publication, les membres doivent pouvoir se connecter et voir leurs données sur n’importe quel nœud de publication.

Les utilisateurs et utilisatrices, et les groupes d’utilisateurs et d’utilisatrices (données utilisateur) créés dans l’environnement de publication ne sont pas nécessaires dans l’environnement de création.

La plupart des données utilisateur créées dans l’environnement de création sont destinées à y rester et à ne pas être copiées vers les instances de publication.

L’enregistrement et les modifications effectués sur une instance de publication doivent être synchronisés avec d’autres instances de publication afin qu’elles aient accès aux mêmes données utilisateur.

Depuis AEM 6.1, lorsque la synchronisation des utilisateurs et des utilisatrices est activée, les données utilisateur sont automatiquement synchronisées sur les instances de publication dans la ferme et ne sont pas créées en mode de création.

Distribution Sling

Les données utilisateur, avec leurs ACL, sont stockées dans le cœur Oak, la couche située en dessous du JCR Oak, et sont accessibles via l’API Oak. Du fait de mises à jour peu fréquentes, il est judicieux que les données utilisateur soient synchronisées avec d’autres instances de publication à l’aide de la Distribution de contenu Sling.

Les avantages de la synchronisation des utilisateurs à l’aide de la distribution Sling par rapport à la réplication traditionnelle sont les suivants :

  • Les utilisateurs et utilisatrices, profils utilisateur et groupes d’utilisateurs et d’utilisatrices créés lors de la publication ne sont pas créés sur l’instance de création.

  • La distribution Sling définit les propriétés dans les événements jcr, ce qui permet d’agir dans les écouteurs d’événements côté publication sans se soucier des boucles de réplication infinies.

  • La distribution Sling envoie uniquement les données utilisateur aux instances de publication non originaires, éliminant ainsi le trafic inutile.

  • Les ACL définies dans le nœud d’utilisateur sont incluses dans la synchronisation.

NOTE
Si des sessions sont requises, il est conseillé d’utiliser une solution SSO ou une session persistante et de demander aux client(e)s de se connecter s’ils ou elles basculent vers une autre instance de publication.
CAUTION
La synchronisation du groupe d’administration n’est pas prise en charge, même si la synchronisation des utilisateurs et des utilisatrices est activée. À la place, un échec de l’import de la comparaison est consigné dans le journal des erreurs.
Par conséquent, lorsque le déploiement est une ferme de publication, si un utilisateur ou une utilisatrice est ajouté(e) ou supprimé(e) dans le groupe d’administration, la modification doit être effectuée manuellement sur chaque instance de publication.

Activation de la synchronisation des utilisateurs

NOTE
Par défaut, la synchronisation des utilisateurs est disabled.
L’activation de la synchronisation des utilisateurs et utilisatrices implique de modifier les configurations OSGi existantes.
Aucune nouvelle configuration ne doit être ajoutée suite à l’activation de la synchronisation des utilisateurs et utilisatrices.

La synchronisation des utilisateurs et des utilisatrices repose sur l’environnement de création pour gérer les distributions de données utilisateur, même si les données utilisateur ne sont pas créées en mode de création. Une grande partie, mais pas l’intégralité, de la configuration a lieu dans l’environnement de création et chaque étape identifie clairement si elle doit être effectuée en mode de création ou en mode de publication.

Vous trouverez ci-dessous les étapes nécessaires pour activer la synchronisation des utilisateurs, suivies d’une section Résolution des incidents :

Conditions préalables

  1. Si les utilisateurs et utilisatrices et les groupes d’utilisateurs ont déjà été créés sur une instance de publication, il est recommandé de synchroniser manuellement les données utilisateur sur toutes les instances de publication avant de configurer et d’activer la synchronisation des utilisateurs et des utilisatrices.

Une fois la synchronisation des utilisateurs et des utilisatrices activée, seuls les utilisateurs et utilisatrices et les groupes nouvellement créés sont synchronisés.

  1. Assurez-vous que le code le plus récent est installé :

1. Agent de distribution Apache Sling - Fabrique d’agents de synchronisation

Activer la synchronisation des utilisateurs et utilisatrices

  • en mode de création

    • connexion avec droits d’administrateur

    • accédez à la console web

    • localisez Apache Sling Distribution Agent - Sync Agents Factory

      • sélectionnez la configuration existante afin de pouvoir l’ouvrir pour modification (icône de crayon)
        Vérifiez name : socialpubsync

      • sélectionnez la case à cocher Enabled

      • sélectionnez Save

Agent de distribution Apache Sling

2. Créez l’utilisateur ou l’utilisatrice autorisé(e)

Configurer les autorisations

L’utilisateur ou l’utilisatrice autorisé(e) intervient à l’étape 3 pour configurer la distribution Sling sur l’instance de création.

CAUTION
Un nouvel utilisateur doit être créé.
  • L’utilisateur affecté par défaut est l’utilisateur admin.
  • Ne pas utiliser communities-user-admin user.

Comment ajouter une ACL

  • accédez à CRXDE Lite

  • sélectionnez le nœud /home

  • dans le volet de droite, sélectionnez l’onglet Access Control

  • pour ajouter une entrée ACL, sélectionnez le bouton +

    • Principal  : recherchez l’utilisateur créé pour la synchronisation des utilisateurs
    • Type  : Allow
    • Autorisations  : jcr:all
    • Restrictions  rep:glob: */activities/*
    • sélectionnez OK

  • sélectionnez Enregistrer tout

Ajouter une fenêtre ACL

Voir également

3. Distribution Granite d’Adobe - Prestataire secret de transport de mot de passe chiffré

Configurer les autorisations

Une fois qu’un utilisateur ou une utilisatrice autorisé(e), membre du groupe d’utilisateurs ou d’utilisatrices administrators, a été créé(e) sur toutes les instances de publication, cet utilisateur ou cette utilisatrice autorisé(e) doit être identifié(e) en mode de création comme étant autorisé(e) à synchroniser les données utilisateur de la création à la publication.

  • en mode de création

    • connexion avec droits d’administrateur

    • accédez à la console web

    • localisez com.adobe.granite.distribution.core.impl.CryptoDistributionTransportSecretProvider.name

    • pour ouvrir une configuration pour modification, sélectionnez la configuration existante (icône crayon)
      Vérifiez property name : socialpubsync-publishUser

    • définissez le nom d’utilisateur et le mot de passe de l’utilisateur autorisé créé en mode de publication à l’étape 2

      • par exemple, usersync-admin

Prestataire secret de transport de mot de passe chiffré

4. Agent de distribution Apache Sling - Fabrique d’agents de file d’attente

Activer la synchronisation des utilisateurs et utilisatrices

  • sur chaque instance de publication  :

    • connexion avec droits d’administrateur

    • accédez à la console web

    • localisez Apache Sling Distribution Agent - Queue Agents Factory

      • pour ouvrir une configuration pour modification, sélectionnez la configuration existante (icône crayon)
        Vérifiez Name : socialpubsync-reverse

      • sélectionnez la case à cocher Enabled

      • sélectionnez Save

    • répétez pour chaque instance de publication

Fabrique d’agents de file d’attente

5. Synchronisation Adobe Social - Fabrique d’observateurs diff.

Activez la synchronisation des groupes

  • sur chaque instance de publication  :

    • connexion avec droits d’administrateur

    • accédez à la console web

    • localisez Adobe Social Sync - Diff Observer Factory

      • pour ouvrir une configuration pour modification, sélectionnez la configuration existante (icône de crayon).

        Vérifier agent name : socialpubsync-reverse

      • sélectionnez la case à cocher Enabled

      • sélectionnez Save

Fabrique d’observateurs diff

6. Déclencheur de distribution Apache Sling - Fabrique de déclencheurs planifiés

(Optionnel) modifiez l’intervalle d’interrogation

Par défaut, l’instance de création interroge les modifications toutes les 30 secondes. Pour modifier cet intervalle :

  • en mode de création

    • connexion avec droits d’administrateur

    • accédez à la console web

    • localisez Apache Sling Distribution Trigger - Scheduled Triggers Factory

      • pour ouvrir une configuration pour modification, sélectionnez la configuration existante (icône de crayon).

        • Vérifier Name : socialpubsync-scheduled-trigger

      • définissez l’Interval in Seconds à l’intervalle souhaité.

      • sélectionnez Save

Fabrique de déclencheurs planifiés

Configurer plusieurs instances de publication

La configuration par défaut couvre une instance de publication unique. Puisque l’objectif de l’activation de la synchronisation des utilisateurs et des utilisatrices est de synchroniser plusieurs instances de publication (par exemple, pour une ferme de publication), les instances de publication supplémentaires doivent être ajoutées à la fabrique d’agents de synchronisation.

7. Agent de distribution Apache Sling - Fabrique d’agents de synchronisation

Ajoutez des instances de publication :

  • en mode de création

    • connexion avec droits d’administrateur

    • accédez à la console web

    • localisez Apache Sling Distribution Agent - Sync Agents Factory

      • pour ouvrir une configuration pour modification, sélectionnez la configuration existante (icône de crayon)
        Vérifiez Name : socialpubsync

Fabrique d’agents de synchronisation

  • Points d’entrée de l’exportateur
    Il doit exister un point d’entrée de l’exportateur pour chaque instance de publication. Par exemple, s’il existe 2 instances de publication, localhost:4503 et 4504, il doit y avoir deux entrées :

    • https://localhost:4503/libs/sling/distribution/services/exporters/socialpubsync-reverse
    • https://localhost:4504/libs/sling/distribution/services/exporters/socialpubsync-reverse

  • Points d’entrée de l’importateur
    Il doit exister un point d’entrée de l’importateur pour chaque instance de publication. Par exemple, s’il existe 2 instances de publication, localhost:4503 et 4504, il doit y avoir deux entrées :

    • https://localhost:4503/libs/sling/distribution/services/importers/socialpubsync
    • https://localhost:4504/libs/sling/distribution/services/importers/socialpubsync

  • sélectionnez Save

8. Écouteur de synchronisation des utilisateurs et utilisatrices d’AEM Communities

(Facultatif) Synchroniser des nœuds JCR supplémentaires

S’il existe des données personnalisées à synchroniser sur plusieurs instances de publication, alors :

  • Sur chaque instance de publication  :

    • connexion avec droits d’administrateur

    • accédez à la console web

      • par exemple, https://localhost:4503/system/console/configMgr

    • localisez AEM Communities User Sync Listener

    • pour ouvrir une configuration pour modification, sélectionnez la configuration existante (icône de crayon)
      Vérifiez Name : socialpubsync-scheduled-trigger

Écouteur de synchronisation des utilisateurs et utilisatrices d’AEM Communities

  • Types de nœuds
    Il s’agit de la liste des types de nœuds qui vont être synchronisés. Tout type de nœud autre que sling:Folder doit être répertorié ici (sling:folder est traité séparément).
    Liste par défaut des types de nœuds à synchroniser :

    • rep:User
    • nt:unstructured
    • nt:resource

  • Propriétés à ignorer
    Il s’agit de la liste des propriétés qui seront ignorées si une modification est détectée. Les modifications apportées à ces propriétés peuvent être synchronisées comme effet secondaire d’autres modifications (la synchronisation ayant toujours lieu au niveau du nœud), mais les modifications apportées à ces propriétés ne déclenchent pas en elles-mêmes de synchronisation.
    Propriété par défaut à ignorer :

    • cq:lastModified

  • Nœuds à ignorer
    Sous-chemins ignorés lors de la synchronisation. Aucun élément figurant dans ces sous-chemins d’accès n’est synchronisé à un moment donné.
    Nœuds par défaut à ignorer :

    • .tokens
    • system

  • Dossiers distribués
    La plupart des nœuds sling:Folders sont ignorés, car la synchronisation n’est pas nécessaire. Les quelques exceptions sont répertoriées ici.
    Dossiers par défaut à synchroniser

    • segments/notation
    • social/relations
    • activities

9. Identifiant Sling unique

CAUTION
Si l’identifiant Sling correspond à deux instances de publication ou plus, la synchronisation de groupe d’utilisateurs ou d’utilisatrices échoue.

Si l’identifiant Sling est identique pour plusieurs instances de publication dans une ferme de publication, les groupes d’utilisateurs et d’utilisatrices ne sont pas synchronisés.

Pour vérifier que toutes les valeurs d’identifiant Sling diffèrent, sur chaque instance de publication :

  1. accédez à http://<host>:<port>/system/console/status-slingsettings
  2. vérifiez la valeur de l’identifiant Sling

Vérification de la valeur de l’identifiant Sling

Si l’identifiant Sling d’une instance de publication correspond à l’identifiant Sling d’une autre instance de publication, alors :

  1. arrêtez l’une des instances de publication ayant un identifiant Sling correspondant

  2. dans le répertoire crx-quickstart/launchpad/felix

    • recherchez et supprimez le fichier nommé sling.id.file

      • par exemple, sur un système Linux® :
        rm -i $(find . -type f -name sling.id.file)

      • par exemple, sur un système Windows :
        use windows explorer and search for *sling.id.file*

  3. démarrez l’instance de publication

    • au démarrage, un nouvel identifiant Sling lui sera attribué

  4. confirmez que l’identifiant Sling est désormais unique

Répétez ces étapes jusqu’à ce que toutes les instances de publication aient un identifiant Sling unique.

Fabrique de générateur de package vault

Pour que les mises à jour soient correctement synchronisées, il est nécessaire de modifier le générateur de package vault en vue de la synchronisation des utilisateurs et des utilisatrices :

  • sur chaque instance de publication AEM

  • accédez à la console web

  • localisez Apache Sling Distribution Packaging - Vault Package Builder Factory

    • Builder name: socialpubsync-vlt

  • sélectionnez l’icône de modification

  • ajouter deux Package Node Filters :

    • /home/users|-.*/.tokens
    • /home/users|-.*/rep:cache

  • gestion des politiques :

    • pour remplacer les nœuds rep:policy existants par de nouveaux nœuds, ajoutez un troisième filtre de package :

      • /home/users|+.*/rep:policy

    • pour empêcher la distribution des politiques, définissez

      • Acl Handling: IGNORE

Fabrique de générateur de packages vault

Que se passe-t-il lorsque…

Un utilisateur ou une utilisatrice s’enregistre automatiquement ou modifie son profil dans Publication.

Par défaut, les utilisateurs et les profils créés dans l’environnement de publication (inscription automatique) n’apparaissent pas dans l’environnement de création.

Lorsque la topologie consiste en une batterie de publication et que la synchronisation des utilisateurs a été correctement configurée, l’utilisateur et le profil utilisateur sont synchronisés dans la batterie de publication à l’aide de la distribution Sling.

La création d’utilisateurs et d’utilisatrices ou de groupes d’utilisateurs et d’utilisatrices s’effectue dans la console de sécurité.

Par défaut, les données utilisateur créées dans l’environnement de publication n’apparaissent pas dans l’environnement de création, et inversement.

Lorsque la console Administration et sécurité des utilisateurs est utilisée pour ajouter de nouveaux utilisateurs et de nouvelles utilisatrices dans l’environnement de publication, la synchronisation des utilisateurs et des utilisatrices synchronise les nouveaux utilisateurs et les nouvelles utilisatrices et leur appartenance à un groupe sur d’autres instances de publication, si nécessaire. La synchronisation des utilisateurs et des utilisatrices synchronise également les groupes d’utilisateurs et d’utilisatrices créés via la console de sécurité.