|
| |
| Sun Java System Identity Server 2004Q2 管理指南 | |
第 5 章
服務配置本章描述 Sun Java™ System Identity Server 2004Q2 之服務管理功能。[服務配置] 介面除了用於配置 Identity Server 主控台顯示設定以外,還用於檢視、管理和配置所有 Identity Server 服務及其值 (預設和自訂)。本章包含以下各節:
服務的定義服務是以共用名稱定義的一組屬性。這些屬性定義服務向組織提供的參數。例如,開發薪水帳冊服務時,開發者可能會決定包括定義員工名稱、時薪和免稅的屬性。將該服務註冊到組織後,該組織便可使用這些屬性來配置其項目。
Identity Server 使用可延伸標籤語言 (XML) 定義服務。服務管理服務文件類型定義 (sms.dtd) 定義服務 XML 檔案的結構。該檔案位於以下目錄:
IdentityServer_base/SUNWam/dtd/ (Solaris)
IdentityServer_base/identity/dtd (Linux)
注意
本章其他部分僅提供 Solaris 目錄資訊。請注意 Linux 的目錄結構不同。如需更多資訊,請參閱關於本指南。
如需有關定義 Identity Server 服務的更多資訊,請參閱「Identity Server Developer's Guide」。
Identity Server 服務與 Identity Server 一同提供的預設服務由位於以下目錄的 XML 檔案定義:
etc/opt/SUNWam/config/xml
透過 [服務配置] 介面配置時,有些服務會定義 Identity Server 應用程式的值。其他服務會註冊到在 Identity Server 內配置的特定組織,並用來定義該組織的預設值。
管理服務
管理服務允許在應用程式層級 (類似於 Identity Server 應用程式的 [喜好設定] 或 [選項] 功能表) 和已配置組織層級 (已配置組織特定的 [喜好設定] 或 [選項]) 上對主控台進行配置。
認證服務
共有多個認證模組,其中包括一個基準模組。這可讓管理員有機會選擇每個已定義組織可以用於驗證使用者授權的方法。
匿名
該認證服務允許在不指定使用者名稱和密碼的情況下登入。匿名連線可有限存取伺服器,並由管理員自訂。
基於證書
該認證服務允許透過個人數位證書 (PDC) 登入。
核心
該認證服務是 Identity Server 認證服務的一般配置基準。必須對它進行註冊和配置,以使用任何特定服務。允許管理員定義預設值。
HTTP Basic
該認證服務使用基本認證,即 HTTP 協定的內建認證支援。要使用這個服務,需要註冊 LDAP 認證服務。不能從 C API 中執行。
LDAP
該認證服務允許使用 LDAP 連結進行認證,LDAP 連結是將密碼與特定 LDAP 項目相關聯的作業。
成員身份 (自行註冊)
該認證服務可讓新使用者自行註冊,以透過登入和密碼進行認證。自行註冊不需使用認證。
NT
該認證服務允許使用 Windows NT™/2000™ 伺服器對使用者進行認證。為了實現 NT 認證模組,必須下載並安裝 Samba Client (smbclient) 2.2.2 (Linux 可以需要使用作業系統隨附的 Samba Client)。
RADIUS
該認證服務允許使用外部遠端認證撥入使用者服務 (RADIUS) 伺服器認證使用者。
為使 RADUIS 認證服務與 Sun Java System Application Server 正確配合使用,您必須配置 Application Server 的 server.policy 檔案。如需此作業的說明,請參閱認證選項。
SafeWord
此認證服務允許利用 Secure Computing 的 SafeWord™ 或 SafeWord PremierAccess™ 認證伺服器來認證使用者。
為使 SafeWord 認證服務與 Sun Java System Application Server 正確配合使用,您必須配置 Application Server 的 server.policy 檔案。如需此作業的說明,請參閱認證選項。
SecurID
此認證服務允許利用 RSA ACE/Server® 認證軟體與 SecurID® 認證程式來認證使用者。Solaris x86 上不支援此服務。
Unix
該認證服務允許使用 Unix® 伺服器和使用者的 UNIX 身份和密碼來認證使用者。
Windows 桌面 SSO
此認證服務允許已獲 Kerberos 發行中心 (KDC) 認證的使用者取得 Identity Sever 認證,而無需重新提交登入準則 (單次登入)。
認證配置服務
認證配置服務可讓您配置角色、使用者、服務和組織的認證,以及設定決定認證模組優先順序的規則。您也可以透過這個服務配置以服務為基礎的認證。
用戶端偵測服務
用戶端偵測服務可讓 Identity Server 偵測正在存取之瀏覽器的用戶端類型,並可讓管理員依照用戶端類型加入和配置裝置。
全域設定服務
全域設定包含配置 Identity Server 以適應不同字元集的特性。
探索服務
此服務由 Identity Server 的聯盟管理模組使用。如需有關這個服務的更多資訊,請參閱「Identity Server Federation Management Guide」。
自由個人配置檔服務
此服務由 Identity Server 的聯盟管理模組使用。如需有關這個服務的更多資訊,請參閱「Identity Server Federation Management Guide」。
記錄服務
記錄服務是管理員為 Identity Server 應用程式記錄功能配置值的地方。範例包括日誌檔大小和日誌檔位置。
命名服務
命名服務用來獲得和設定 URL、外掛程式、配置以及對各種其他 Identity Server 服務 (如階段作業、認證和記錄) 的請求通知。
密碼重設服務
密碼重設服務可讓使用者接收遺忘密碼或重設密碼,以便存取受 Identity Server 保護的給定服務或應用程式。由頂層管理員定義的密碼重設服務屬性控制使用者驗證憑證 (格式為「保密問題」)、控制新密碼或現有密碼通知的機制以及為不正確的使用者驗證設定可能的鎖定間隔時間。
平台服務
在平台服務中,附加伺服器可以加入到 Identity Server 配置以及套用於 Identity Server 應用程式頂層的其他選項中。
策略配置服務
策略配置服務定義策略框架在策略管理和策略評估期間要使用的值。
SAML 服務
安全宣示標籤語言 (SAML) 服務定義在提供認證和認證服務的安全授權機構之間交換安全宣示的框架,以實現跨不同平台的相互可操作性。
階段作業服務
階段作業服務為經認證的使用者階段作業 (如最長階段作業時間和最長閒置時間) 定義值。
SOAP 連結服務
此服務由 Identity Server 的聯盟管理模組使用。如需有關這個服務的更多資訊,請參閱「Identity Server Federation Management Guide」。
使用者服務
預設使用者喜好設定透過使用者服務來定義。(它們包括時區、語言環境和啟動檢視的 DN。)
屬性類型組成 Identity Server 服務的屬性分為以下幾種類型:動態、策略、使用者、組織或全域。使用這些類型將每種服務中的屬性再劃分,可更一致地安排服務模式、更輕鬆地管理服務參數。
動態屬性
動態屬性可指定至 Identity Server 配置的角色或組織。如果將角色指定給使用者或在組織中建立使用者,則動態屬性會成為該使用者的一個特徵。例如,為組織的員工建立角色。該角色可能包含該組織的地址和傳真號碼,這兩項內容對所有員工都是靜態的。將此角色指定給每位員工時,這些動態屬性會由每位員工繼承。
使用者屬性
這些屬性會直接指定給每位使用者。它們不是繼承自角色或組織,通常對於每位使用者都有所不同。使用者屬性範例包括 userid、employee number 和 password。透過修改 amUser.xml 檔案,可以在使用者服務中加入或移除使用者屬性。如需更多資訊,請參閱「Identity Server Developer's Guide」。
組織屬性
組織屬性僅指定給組織。在這一方面,它們的作用類似動態屬性,但不同於動態屬性,因為它們不是由子樹中的項目所繼承的。此外,沒有與組織屬性相關的物件類別。認證服務中列出的屬性被定義為組織屬性,因為認證是在組織層級而不是在子樹或使用者層級完成的。
全域屬性
全域屬性套用於整個 Identity Server 配置。由於全域屬性旨在自訂 Identity Server 應用程式,因此無法套用於使用者、角色或組織。在 Identity Server 配置中只有一個全域屬性的實例。沒有與全域屬性相關的物件類別。全域屬性的範例包括日誌檔大小、日誌檔位置、連接埠號或 Identity Server 可用來存取資料的伺服器 URL。
策略屬性
策略屬性指定與服務關聯的存取控制動作 (或權限)。規則被加入至策略時,即成為規則的一部分了。如果您要透過 Identity Server 策略管理服務的存取控制,服務模式中須有策略屬性。
服務配置介面可透過服務配置模組來配置和管理服務。不包括在 Identity Server 預設服務套裝軟體中的組織特定的服務可使用 XML (基於 Identity Server 服務文件類型定義或 DTD) 來寫入並加入到在 [其他配置] 標頭下的介面中。如需有關如何完成此作業的說明,請參閱第 IV 部分,「屬性參考」,其中描述了預設服務及其相應屬性的定義。
服務配置模組用於顯示全域層級上的服務配置。也就是說,它可用於檢視 Identity Server 中所有可用服務 (無論是否註冊) 的預設配置。服務被組織註冊和啟動後,指定給該服務的初始預設資料會顯示在該服務的 [服務配置] 頁面中。圖 5-1 為圖形使用者介面的螢幕快照。
圖 5-1 [服務配置] 檢視
可透過選擇服務配置模組來存取 [服務配置] 檢視。導覽框架將會顯示所有已定義的 Identity Server 服務之清單。若要為某項服務設定全域預設值,請選取該服務名稱旁邊的 [特性] 箭頭。該服務的屬性將顯示在資料框架中。
