第 1 章产品概述

本章提供 Sun™ ONE Identity Server 的功能概述。本章包含以下内容：

Sun ONE Identity Server

Sun ONE Identity Server 技术是用于 Network Identity 的 Sun Open Net Environment (Sun ONE) Platform 的一部分。Identity Server 是一组工具，用于发挥 Sun ONE Directory Server 的管理和安全功能（基于轻便目录存取协议 [LDAP] 的数据存储）。Identity Server 将 Directory Server 与用户验证及可增强数据安全性的单一登录功能集成在一起。它还允许管理员启动基于角色的用户条目管理，以及在用户条目中显示为属性的条目分组机制。最后，开发者还可以定义和管理多个缺省服务和自定义服务的配置参数。通过一个可自定义的图形用户界面（即基于浏览器的 Identity Server 控制台）可以使用所有这三项功能。

Identity Server 的功能

Identity Server 是在 Directory Server 的安装的顶层建立的。旨在为目录管理员提供一个更直观一致的界面及用于扩展 Directory Server 的功能的功能。

服务配置

可以使用 Identity Server 服务管理组件指定缺省的和自定义的业务服务的配置参数。通过使用在 Identity Server 框架内定义的 XML 和 DTD，服务开发者可以定义企业服务（如邮件服务、记账服务或日志服务）的参数，还可以管理服务的参数或属性。此外，Identity Server 还允许服务管理员定义这些属性的值。

策略管理

Identity Server 还提供定义、修改或删除规则的方法，这些方法用于控制对业务资源的访问。这些规则统称为策略。

SAML

Identity Server 使用安全断言标记语言 (SAML) 来交换安全信息。SAML 定义了可扩展标记语言 (XML) 框架，以在提供此类信息的不同供应商平台之间实现相互可用性。Sun ONE Identity Server Customization and API Guide 中介绍了 SAML 框架。

联合管理

Identity Server 集成了“联合管理”模块，以使用由 Liberty Alliance Project 开发的适用于联合网络身份的开放标准。

验证

Identity Server 提供了用于用户验证的插件解决方案。验证特定用户所需的条件基于为 Identity Server 企业中的各个组织配置的验证服务。在能够访问 Identity Server 会话之前，用户必须成功地通过验证。

单一登录

用户通过验证之后，用于单一登录 (SSO) 的 Identity Server 的 API 将开始运行。已通过验证的用户每次尝试访问受保护的页面时，SSO API 将根据用户的验证凭证确定他们是否具有所需的权限。如果用户为有效用户，则无需进行其它验证即可访问该页面。如果用户不是有效用户，系统将提示用户再次进行验证。

策略代理

策略代理安装在 Web 容器（Sun ONE Web Server 或 Sun ONE Application Server）上。它是 Identity Server 策略组件的特定实例。用户向受保护的 Web Server 上的 Web 资源发送请求时，此代理将作为附加验证步骤运行。此验证不属于资源必须执行的用户验证检查。该代理用于保护 Web Server，而资源由验证插件保护。

身份管理

可以使用身份管理组件创建和管理与身份相关的对象。使用 Identity Server 控制台或命令行界面可以定义、修改或删除用户、角色、组、策略、组织、子组织和容器对象。控制台的缺省管理员具有不同等级的特权，这些特权用于创建和管理组织、组、容器、用户、服务和策略。（可以基于角色创建其他管理员。）管理员是在与 Identity Server 一起安装 Directory Server 时，在后者中进行定义的。这些管理员包括：

顶层管理员，对 Identity Server 企业内的所有条目具有读写权限。

顶层帮助台管理员，对 Identity Server 企业内的所有条目具有读取权限，并对用户密码属性具有写入权限。

组织管理员，对其组织内的所有条目具有读写权限。

组织帮助台管理员，对其组织内的所有条目具有读取权限。

容器管理员，对所有组管理员具有读写权限，而组管理员对其组的所有成员具有读写权限。

Identity Server 控制台

Identity Server 控制台分为三个部分：位置框、浏览框和数据框。通过使用这三个框，管理员可以浏览目录、执行用户和服务配置以及创建策略。

标题框

标题框位于控制台的顶部。标题框中的选项卡允许管理员在各个管理模块视图之间进行切换：

“身份管理”模块 - 允许创建和管理与身份相关的对象。

“服务配置”模块 - 允许配置 Identity Server 的缺省服务。

“当前会话”模块 - 允许管理员查看当前会话信息以及终止任一会话。

“联合管理”模块 - 允许使用由 Liberty Alliance Project 开发的适用于联合网络身份的开放标准。

“位置”字段用于指明管理员在目录树中的位置。此路径用于进行浏览。

“欢迎进入”字段显示当前运行控制台的用户的名称，并可以链接到用户配置文件。

“搜索”链接显示用户用于搜索特定 Identity Server 对象类型的条目的界面。使用下拉菜单选择对象类型并输入搜索字符串。结果将返回到搜索表格中。允许输入通配符。

“帮助”链接可以打开包含有关身份管理、当前会话、联合管理以及本文档的第 3 部分“属性参考指南”的信息的浏览窗口。

浏览框

浏览框是 Identity Server 控制台的左侧部分。目录对象部分（在灰色框中）显示当前打开的目录对象的名称及其属性链接。（浏览框中显示的大多数对象将具有相应的属性链接。选择此链接将在右侧的数据框中显示条目的属性。）“查看”菜单列出了选定目录对象下的目录。根据子目录的数量，界面将提供分页功能。

数据框

数据框是控制台的右侧部分。此窗格用于显示和配置所有对象属性及其值，还可以在其中按照组、角色或组织选择其相应的条目。



提示	您可以通过单击“全部选择”或“全部取消”图标来选择或取消选择列表中的所有项目。