Sun Java logo     上一頁      目錄      索引      下一頁     

Sun logo
Sun Java System Portal Server 6 2004Q2 管理員指南 

第 3 章
管理認證、使用者與服務

本章會說明如何使用 Sun Java™ System Identity Server 來管理認證、使用者和服務。本章不會嘗試說明 Identity Server 的各方面。 相反地,會將重點放在與 Sun Java™ System Portal Server 相關的方面。如需更多資訊,請參閱 Identity Server 文件。

本章包含下列章節:

Sun Java System Identity Server 概述

在 Sun Java System Portal Server (前身為 Sun™ ONE Portal Server) 實作中,您可透過產品本身管理認證方法、建立網域、角色及使用者,並且管理其他資料 (如設定檔屬性及日誌)。您也能使用 iPlanet Portal Server 3.0 API 以開發自訂的應用程式。

如今,對於 Sun Java System Portal Server 6 2004Q2 產品,您能使用 Identity Server 管理功能以及之前在 iPlanet Portal Server 3.0 找到的 API。Identity Server 是利用 Sun Java™ System Directory Server 管理與安全潛力的一組工具。Identity Server 的目標在於提供一個介面,以便於讓使用 Sun Java System Directory Server 的組織來管理使用者物件、策略及服務。

Identity Server 能讓:

您能透過圖形使用者介面以網路為基礎的 Identity Server 管理主控台 來存取這三項功能。此外,指令行介面 amadmin 能讓您在 Directory Server 上執行批次管理工作。例如,您可以建立、註冊與啟動新服務;以及建立、刪除與讀取 (取得) 組織、用戶容器、群組、角色及使用者。

Identity Server 功能摘要

Identity Server 提供下列管理元件。 之前,這些元件存在於 Portal Server 3.0 架構自身。

比較: Portal Server 3.0 與 Portal Server 6.2

表 3-1 提供 Portal Server 產品所發生主要變更的摘要。 之前為 Sun ONE Portal Server 3.0 (前身為 iPlanet Portal Server 3.0) 產品一部分的許多功能,現在是 Identity Server 的一部分。在表格中,第一欄列出概念或術語,第二欄定義 Sun Java System Portal Server 3.0 產品中該術語的功能,第三欄描述 Sun Java System Portal Server 6 2004Q2 產品中對應的功能。

表 3-1   Sun Java System Portal Server 3.0 對 Sun Java System Portal Server 6 2004Q2 之比較 

概念或術語

Sun Java System Portal Server 3.0

Sun Java System Portal Server 6 2004Q2

角色樹                   

您在 Sun Java System Portal Server 3.0 內配置的階層,用於組織使用者與應用程式。角色樹的四個層級為:

  • 網域
  • 角色
  • 使用者

角色樹的概念不再適用。

相反地,因為 Identity Server 利用了 Sun Java System Directory Server 的功能,您可以使用目錄資訊樹 (DIT) 來組織您的使用者、組織、子組織等等。

網域/組織

具有共同興趣使用者的頂層群組,例如員工或客戶。請注意這不是 DNS 網域,而是 Sun Java System Portal Server 3.0 用於將使用者群組為邏輯社群的方法。

網域的概念不再適用。相反地,Identity Server 組織代表企業所使用階層式結構的頂層,用於管理其部門與資源。

在安裝時,Identity Server 會詢問根字尾,預設是由網域名稱導出 (例如,對於網域 sun.com,預設是 dc=sun, dc=com)。在安裝之後可以建立其他的組織以管理分別的企業。所有建立的組織會落在頂層組織之下。在這些子組織中可以嵌入其他子組織。巢式結構沒有深度上的限制。

角色

根據功能分隔網域的成員。角色包含一組屬性與定義使用者 Desktop 策略的策略。

包含可授與使用者的權限或一組權限。這包含儲存在 Sun Java System Directory Server 的識別資訊的存取與管理,以及 Identity Server 策略模組所保護權限的存取。Identity Server 角色也與儲存在服務類別範本的設定檔相關。

角色在 Identity Server 中定義不同,而且它包括單一使用者具備多重角色的能力,之前並未支援。

角色的權限定義於存取控制指令 (ACI) 中。Identity Server 包含幾個預先定義的角色。Identity Server 主控台讓您編輯角色的 ACI 以指定「目錄資訊樹」中的存取權限。

屬性

支援兩種屬性類型:全域與使用者可配置。全域屬性套用整個平台而且只能由「超級管理員」配置。使用者可配置的屬性套用至角色樹的基本層級,如下列章節所描述。獲授權的「網域管理員」可以為網域、父角色、子角色與使用者層級配置這些屬性。在角色樹的使用者層級,如有需要可以為每個使用者自訂某些屬性。

利用 Identity Server 的屬性,其中可以是下列類型之一:

  • 全域 - 套用於全域屬性的值會套用於整個 Identity Server 配置,並由每個配置的組織繼承。
  • 動態 - 動態屬性可以指派至 Identity Server 的配置角色或組織。當角色被指派至使用者或於組織中建立使用者時,動態屬性則會變為使用者的特性。
  • 組織 - 這些屬性只被指派至組織。在那個方面,它們以動態屬性作業。雖然它們不是由子樹的項目繼承,與動態屬性有所不同。
  • 使用者 - 這些屬性直接指派至每個使用者。它們不是繼承自角色或組織,且一般而言對於每個使用者都不同。
  • 策略 - 策略屬性是權限屬性。一旦策略已配置,就能指定至角色或組織。這就是動態屬性與策略屬性唯一的不同;動態屬性直接指定至角色或組織,而策略屬性用於配置策略然後套用至角色或組織。

策略

配置應用程式、Desktop、NetFile、Netlet 與其他的入口網站存取策略。

定義誰能對哪些資源執行什麼操作的規則。Identity Server 策略服務能讓組織設定這些規則或策略。一般而言,策略建立於組織 (或子組織) 層級,用於整個組織樹。為了建立命名的策略,特定的策略服務必須先註冊於組織,而策略將建立在該組織之下。

在 Sun Java System Identity Server 6 2004Q2 中,策略服務僅由受允許或拒絕的 URL 清單所組成。對於 Portal Server 而言,這不足以建立內容以策略為基礎的 Desktop。這也是通道存取的策略建立在 Desktop 顯示設定檔的原因。Portal Server 6 2004Q2 Desktop 支援允許合併多個角色通道清單的顯示設定檔。例如,如果您有 25 個角色,每個具有與該角色相關的少數通道,可以配置使用者具備那些角色的任何數目,而它們取得的 Desktop 將會提供所有那些角色的聚集體。合併語義控制來自幾個角色的通道是如何被聚集或合併。為了合併顯示設定檔的目的,階層式排序是強加於 Portal Server 的角色。合併開始會先使用優先順序最低的文件 (最低數),然後再依序處理優先順序數較高的文件,直到到達使用者層級,即最高優先順序的設定檔。如需合併顯示設定檔的資訊,請參閱第 7 章,「管理顯示設定檔」

元件/
服務

Portal Server 3.0 的四個主要元件為伺服器本身、設定檔伺服器、閘道與防火牆。

元件已由 Identity Server 服務取代,那是在一般名稱之下定義的屬性群組。那些特性定義服務提供組織的參數。Identity Server 是服務架構。

Sun Java System Portal Server 6 2004Q2 依靠 Identity Server 提供核心服務,例如認證、使用者管理與策略管理,以及架構以執行 Portal Server 的特定服務 (Desktop、NetMail、Rewriter 與 搜尋)。

管理介面

提供其本身的 管理主控台 以便僅僅管理 Portal Server 3.0 元件。

指令行介面是 ipsadmin

使用 Identity Server 管理主控台 管理 Identity Server 服務、使用者與策略,以及 Sun Java System Portal Server 的特定服務 (Desktop、NetMail、Rewriter 與 搜尋。)

取代 ipsadmin 的指令行介面是 amadmindpadminrwadmin

比較:Portal Server 6.0 與 Portal Server 6.2

表 3-2 提供 Portal Server 6.0 產品與 Portal Server 6.2 產品之間所發生變更的摘要。 在表格中,第一欄列出概念或術語,第二欄定義 Sun Java System Portal Server 6.0 產品中該術語的功能,第三欄描述 Sun Java System Portal Server 6.2 產品中對應的功能。

表 3-2  Sun Java System Portal Server 6.0 對 Sun Java System Portal Server 6 2004Q2 之比較 

概念或術語

Sun Java System Portal Server 6.0

Sun Java System Portal Server 6 2004Q2

策略                 

指定策略至使用者。一旦命名與建立策略,就能被指定至組織或角色。在組織層級指定策略讓組織中所有項目都可用其屬性。指定策略至角色讓包含該角色屬性的所有使用者都可用其屬性。

授權組織的策略定義與決定給其他組織。(或者,可以將資源的策略決策委託給其他策略產品。)參照策略控制策略建立與評估兩者的策略授權。

建立一般策略以定義存取權限。一般策略可由多個規則、物件與條件所組成。

認證功能表

Sun ONE Identity Server 5.1 管理主控台所提供的認證功能表配置功能支援使用者選取的認證模組功能表。

如果您需要配置有效認證模組的可選清單,請使用 Sun Java System Identity Server 管理主控台將每個認證模組設定為與認證層級屬性相同的值。如需配置認證模組的資訊,請參閱 第 3 章,「管理認證、使用者與服務」

Identity Server 限制

當使用 Identity Server 時,下列限制會套用:

Identity Server 介面

Identity Server 管理主控台

這個以瀏覽器為基礎的主控台提供圖形使用者介面來管理 Identity Server 企業,包括 Sun Java System Portal Server 服務。管理主控台有預設管理員具備不同程度的權限,用於建立與管理服務、策略與使用者。(可以根據角色建立其他授權的管理員。)如需更多資訊,請參閱第 4 章,「配置授權管理」

Identity Server 管理主控台 分為三個部分:位置窗格、導覽窗格與資料窗格。藉由使用這三個窗格,您可以導覽目錄、執行使用者與服務配置,並建立策略。

如需更多資訊,請參閱第 1 章,「管理 Sun Java System Portal Server 簡介」

Identity Server 指令行

Identity Server 指令行介面在管理伺服器時為 amadmin,而在停止與啟動伺服器程序時為 amserveramadmin 也用於將 XML 服務檔案載入目錄伺服器,以及在目錄樹上執行批次管理工作。iPlanet™ Portal Server 3.0 指令行介面 ipsadminipsserver 不再使用。

如需 amadmin 的詳細資訊,請參閱 Identity Server 文件。

登入 Identity Server 管理主控台

您可以用兩種方式登入 Identity Server 主控台:

當您登入 管理主控台 時,呈現的功能會依您的存取權限而定。存取權限是根據指定給您的 ACI 或角色來決定。例如,超級使用者能看到 管理主控台 的所有功能;獲授權的管理員可能只看到此功能子集,也許只屬於子組織;而一般使用者只能看到與其特定使用者 ID 有關的使用者屬性。

目前有兩種 URL 可用於登入 管理主控台:

/amconsole URL 明確請求 Identity Server 管理主控台 的 HTML 頁面。如果您使用 /amconsole 登入,則會開啟 管理主控台,然後您將看到 URL 變更為 /amserver/UI/login,所以使用者可認證。無論配置如何,此 URL 可用於存取 管理主控台。

/amserver URL 請求 Identity Server 服務的 HTML 頁面。雖然 Sun Java System Portal Server 安裝時的預設設定是重新導向此 URL 以登入 管理主控台,因為 /amserver URL 存取 Identity Server 服務,所以此 URL 可用於讓主控台以外的其他服務可用。例如,

若要登入 Identity Server 管理主控台

使用 IP 位址配置登入管理主控台

您無法使用伺服器的 IP 位址登入 Identity Server 管理主控台。這是因為 Identity Server 的 cookie 網域設定。

但是您可以將本機主機的 IP 位址新增至管理主控台的 Cookie 網域清單。

  1. 選取位置窗格中的 [服務配置]。
  2. 按一下 [平台]。
  3. 將您本機主機的 IP 位址新增至 [全域]。

現在您應該可以用 IP 位址而不是網域名稱存取管理主控台。

檢視基本資訊

可用程序檔顯示關於產品的基本資訊,例如 Sun Java System Portal Server 的版本與建立日期,以及 jar 檔案的版本與建立日期。版本程序檔安裝於 portal-server-installation-root/SUNWps/bin 目錄,其中 portal-server-installation-root 是您安裝 Sun Java System Portal Server 的基礎目錄。預設是 /opt

若要檢視產品資訊:

  1. 變更目錄為安裝程序檔的目錄。方法是:

    2. cd portal-server-installation-root/SUNWps/bin

  2. 若要檢視關於 Sun Java System Portal Server 的資訊,請輸入

    3. ./version

  3. 若要檢視關於 Sun Java System Portal Server 的 jar 檔案資訊,請鍵入

    4. ./version jar-file

    其中 jar-file 是 jar 檔案的名稱。

啟動與停止 Sun Java System Portal Server

本節描述如何停止與啟動 Sun Java System Portal Server。因為 Sun Java System Portal Server 依靠 Identity Server,您不會直接啟動與停止 Sun Java System Portal Server。您必須重新啟動 Identity Server 伺服器本身。

這些指示會因網路容器而有所不同。如需更多資訊,請參閱「Sun ONE Portal Server 6 2004Q2 Developer's Guide」。

Sun Java System Portal Server 支援各種平台語言環境。若要以安裝預設以外的值啟動 Sun Java System Portal Server,請參閱「Sun ONE Portal Server 6 2004Q2 Developer's Guide」。

管理 Identity Server 服務

本節提供 Sun Java System Portal Server 所使用 Identity Server 服務的簡介。如需完整資訊,請參閱 Identity Server 文件。

安裝與 Sun Java System Web Server 封裝

使用者管理

單次登入/認證

服務管理

Sun Java System Portal Server 6 2004Q2 定義下列 Identity Server 服務:

管理 Sun Java System Portal Server 使用者

目錄資訊樹 (DIT) 將您的使用者、組織、子組織等組織成邏輯或階層式的結構,讓您有效管理擔任那些角色或隸屬於那些組織的使用者,並為其指派適當的存取。本節藉由提供關於組織、子組織與角色的功能,並提供建立與管理組織、角色與使用者的程序,來提供資訊幫助您計劃目錄結構或位於您入口網站伺服器實施之下的樹。

備註  

Sun Java System Portal Server 6 2004Q2 支援組織;之前 Sun Java System Portal Server 3.0 使用網域的概念。

Identity Server 中組織樹的頂端是在安裝時指定。在安裝之後可以建立其他的組織以管理分別的企業。所有建立的組織會落在頂層組織之下。在這些子組織中可以嵌入其他子組織。巢式結構沒有深度上的限制。

備註   

樹的頂端不需要稱為 isp。它可以是任何名稱。但是組織具有常規頂端的樹,例如 isp, 其樹中的組織可以共用角色。

角色是新的群組機制,設計讓應用程式更有效率且更易於使用。每個角色都有成員或擁有角色的項目。藉由群組,您可以明確或動態指定角色成員。角色機制會自動產生包含所有角色定義 DN 的 nsRole 屬性,而在定義中項目是成員。 每個角色包含可授與一個使用者或多個使用者的一個權限或一組權限。 在 Sun Java System Portal Server 6 2004Q2 中,可以將多重角色指定給單一使用者。 角色的權限定義於存取控制指令 (ACI)。Sun Java System Portal Server 包含幾個預先定義的角色。Identity Server 主控台讓您編輯角色的 ACI 以指定「目錄資訊樹」中的存取權限。內建的範例包括 Top-level Admin RoleTop-level Help Desk Admin Role。您可以建立各組織可共用的其他角色。

計劃組織、子組織與角色

在您計劃 DIT 結構時,必須決定要使用階層式或平面式的樹結構。就一般規則,您應該努力讓您的樹層次盡可能少。 然而,隨著您組織大小的增加,具有某種程度的階層對於促進授與及管理使用者存取而言很重要。對於建立您的 DIT 結構,Identity Server 中三個重要的結構實體為組織 (或子組織)、角色與使用者。在您計劃結構之前,應該了解這些實體中每一個的功能、特性與相互關係。

組織與子組織

角色

使用者

分析藍本 1:具有子組織與角色的階層式結構

雖然您應該努力讓結構層次盡可能少,某些階層對於提供必要的群組很有用。 建立階層式結構的高層級步驟為:

  1. 建立頂層組織。
  2. 識別您企業中所有使用者的功能性或組織性群組,並決定您要用哪些來建立 DIT 結構實體,也就是需要具備特定權限的那些群組。一般而言,這應該只是您企業中最大的子分部,而管理員用於管理它們。使用常規或功能性的名稱,這樣重新組織與名稱變更就不會是問題。
  3. 對於每個與頂層組織有某種關聯的 DIT 實體,為該實體建立子組織 (也就是在 Identity Server 世界中位於另一個組織下的組織) 或角色

    4. 使用下列指導方針決定要使用子組織或角色:

    • 為包含具有相似存取需求使用者群組的實體定義子組織。一般而言,這會是廣泛功能性或組織性的群組,可以指定單組權限。
    • 定義角色,若子組織中的使用者可能需要具備此角色。所有使用者屬於組織或子組織。如果沒有指定給它們任何角色,它們會繼承其所存在組織的權限。所以,如果您要使用者具備其所存在組織與任何父系組織的屬性,必須使用角色機制並將多重角色指定給它們。
  4. 對於每個角色,定義 RoleAdministratorRole 以管理角色。然後適當設定 ACI (管理權限:新增或刪除使用者、修改角色屬性等。)
  5. 定義將存取您企業的使用者。如果使用者繼承其組織的權限,請將它們置於適當的組織。如果使用者透過角色指定接收他們的權限,他們必須被置於該角色的範圍內,也就是定義該角色的組織或子組織之內。

圖 3-1 說明階層式目錄結構。在本圖中,頂層組織是 Sesta.com。 緊接著頂層之下的是負責管理組織的 SestaAdminRole 以及 CorporatePartners 子組織。Corporate 組織有三個子組織:FinanceOperationsSales。因為在 Sales 組織中有多個使用者類型,所以定義兩個角色:SalesRole1SalesRole 2。在 Partners 組織中有三個子組織:Partner1Partner2Partner3。這些組織每個都需要自己的管理員,所以定義三個個別與適當組織相關的角色。事業夥伴角色為 PartnerAdmin1PartnerAdmin2PartnerAdmin3

圖 3-1  階層式目錄結構

本圖說明階層式目錄結構。如需此結構的詳細資訊,請查看本圖前面的文字。

分析藍本 2:平面式樹結構

如果您的組織經常變更,較淺或完全平面式的樹結構可能較適當。如果您的企業經常進行變更,具有一個組織、一個「用戶」容器以及所有角色在相同層級的結構很有用。只有一個組織的情形,企業的變更不會影響您的 DIT。定義所有存取權限使用角色,既然所有角色處於單一「用戶」容器之中、且所有角色都處於相同層級,因此每個使用者都可以被授予任何一個角色。

圖 3-2 說明淺目錄結構。在本圖中,頂層且唯一組織是 Sesta.com。所有實體直接定義在此頂層組織之下。其中包括 SestaAdminRole 用於管理組織、四個角色用於各種公司所需的功能 - Finance、Operations、Sales1 與 Sales2 的使用者,以及事業夥伴所需的六個使用者功能角色:Partner1RolePartner2RolePartner3RolePartner1AdminRolePartner2AdminRolePartner3AdminRole

圖 3-2  淺目錄結構

本圖說明平面式目錄結構。如需此結構的詳細資訊,請查看本圖前面的文字。

建立新組織與子組織

組織與子組織讓您為管理與存取控制的目的架構並群組使用者。 一旦您決定了企業的階層或架構,就必須建立必要的組織與子組織來實施。依預設,當您建立新的組織或子組織時,其中尚未定義服務、策略、使用者或角色。所以每當您建立新的組織或子組織時,必須執行下列高層級步驟來配置:

  1. 註冊您要組織可用的所有服務。如需詳細資料,請參閱若要註冊服務。一般而言,您最少要註冊下列服務:
    • 認證。核心認證服務與組織中使用者會用於認證 (LDAP,匿名) 的任何認證服務。有關更多資訊,請參閱配置認證
    • URL 策略代理程式。
    • 使用者。
    • Portal Server 配置。您要為組織中使用者啟用的任何 Portal Server 服務 (Portal Desktop 與 NetMail)。
  2. 為每個註冊的服務建立範本。如需更多資訊,請參閱若要建立服務的範本
  3. 建立對組織內使用者授與存取權限所需的策略。如需使用策略的更多資訊,請參閱 Sun Java System Portal Server 如何使用策略管理的概述
  4. 新增使用者至組織。如需詳細資料,請參閱若要加入新使用者
  5. 建立與指定您在組織中需要的任何角色。如需詳細資訊,請參閱若要建立新角色若要指定角色至使用者
  6. 配置為您組織啟用的服務。若要配置 Desktop 的資訊,請參閱第 5 章,「管理 Portal Desktop 服務」。若要配置 NetMail,請參閱第 8 章,「管理 NetMail 服務」

為了建立新組織並配置它以使用入口網站的快速啟動程序,請參閱建立新的入口網站組織快速啟動

若要建立新的組織或子組織

對於如何計劃將您的組織及子組織與 Sun Java System Portal Server 一起使用的建議,請參閱計劃組織、子組織與角色

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,已選取位置窗格中的 [識別管理] 且 [所有已建立的組織] 已顯示於導覽窗格中。

  2. 如果您在建立子組織,使用導覽窗格選取要建立子組織的組織。
  3. 按一下導覽窗格中的 [新增]。

    4. [新組織] 的頁面顯示在資料窗格中。

  4. 在 [新組織] 頁面中輸入組織或子組織名稱的值。
  5. 選擇 ActiveInactive 狀態。

    6. 預設是 Active。可以選取特性箭頭隨時在組織或子組織的生命期間進行變更。選擇 inactive 停用登入組織或子組織。

  6. 按一下 [建立]。

    7. 新的組織或子組織會顯示在導覽窗格。

  7. 從 [檢視] 功能表中選擇 [服務]。
  8. 按一下 [註冊]。
  9. 啟用新組織的桌面服務。
    1. 選取位置窗格中的 [識別管理]。
    2. 選取 [檢視] 功能表中的 [組織]。
    3. 選取新建立的組織。
    4. 從 [檢視] 功能表中選取 [服務]。
    5. 選取 [Portal Desktop]
    6. 在 [預設通道名稱] 中將值從 DummyChannel 變更為 JSPTabContainer (或新組織將使用的頂層容器名稱)。
    7. 在 [Portal Desktop 類型] 中將值從預設變更為 sampleportal (或新組織將使用的桌面類型)。

若要註冊服務

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至您要註冊服務的組織或子組織。

    3. 使用導覽窗格中的 [檢視] 功能表。

  3. 從 [檢視] 功能表中選擇 [服務]。
  4. 按一下 [註冊]。
  5. 從資料窗格選取要註冊的服務,並按一下 [儲存]。

若要建立服務的範本

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至已註冊服務存在的組織或子組織。

    3. 使用導覽窗格中的 [檢視] 功能表。

  3. 從 [檢視] 功能表中選擇 [服務]。
  4. 按一下已註冊服務旁的特性箭頭。
  5. 接受或修改該服務的預設特性值,並按一下 [儲存]。

    6. 備註       

    在 LDAP 和 POLICY CONFIGURATION 中,服務空白密碼欄位是位於超級使用者連結的 DN 底下 (cn=amldapuser,...) 必須提供並儲存這個密碼以正確地配置策略與 ldap 配置。 密碼與管理員使用者密碼並「不」相同。 請詢問您的 UNIX 管理員有關這些密碼的資訊。

    如需有關設定 Identity Server 特定服務屬性的資訊,請參閱「Identity Server 管理指南。如需設定 Sun Java System Portal Server 特定服務屬性的資訊,請參閱此指南中適當的附錄。

若要加入新使用者

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至要建立使用者的組織或子組織。
  3. 從 [檢視] 功能表選擇使用者,並按一下 [新增]。

    4. [新使用者] 頁面會出現在資料窗格中。

    備註   

    如果您沒有看見使用者反而看見下拉式功能表的 [用戶容器],請確定您已為組織或頂層某點設定了 [顯示用戶容器] 屬性。這是在 [管理] 之下 Identity Server 服務中設定。

    使用者確實會一直進入 [用戶容器],但除非已選取 [顯示用戶容器] 屬性,您只能在組織下看見它們並與它們互動。依預設是沒有設定 [顯示用戶容器]。

  4. 選取要指定給使用者的服務,並按一下 [下一步]。
    1. 選取導覽窗格中的使用者並按一下 [特性] 箭頭。
    2. 從 [檢視] 功能表中選取 [服務]。
    3. 按一下 [新增] 以選擇要指定給使用者的服務。
    4. 按一下 [儲存]。

      5. 一般而言,您至少要為大多數使用者註冊「Portal Desktop」、「認證配置」與「訂閱」服務。

  5. 輸入使用者資訊並按一下 [建立]。

    6. 新的使用者會出現在導覽窗格中。

若要新增服務至使用者

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至要建立使用者的組織或子組織。
  3. 從 [檢視] 功能表中選擇 [使用者]。
  4. 選取導覽窗格中的使用者並按一下 [特性] 箭頭。
  5. 從 [檢視] 功能表中選取 [服務]。
  6. 按一下 [新增] 以選擇要指定給使用者的服務。
  7. 檢查服務並按一下 [儲存]。

    8. 一般而言,您至少要為大多數使用者註冊「Portal Desktop」與「訂閱」服務。

若要建立新角色

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至要建立角色的組織或子組織。
  3. 從 [檢視] 功能表選擇 [角色],並按一下 [新增]。

    4. [新角色] 的頁面出現在資料窗格中。

  4. 輸入角色資訊 (名稱、描述、角色類型、存取權限),並按一下 [建立]。

    5. 新的角色會出現在導覽窗格中。

    備註   

    如果您在為授權的管理建立自訂角色,您必須之前已定義該角色的 ACI 權限。如需詳細資料,請參閱第 4 章的「配置授權管理」

若要指定角色至使用者

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至要建立角色的組織或子組織。
  3. 從 [檢視] 功能表中選擇 [使用者]。
  4. 按一下要被指定角色的使用者旁的特性箭頭。

    5. 使用者的設定檔資訊會出現在資料窗格中。

  5. 按一下資料窗格中 [檢視] 功能表的 [角色]。

    6. [新增角色] 的頁面隨即顯示。

  6. 核取角色旁的方塊以指定,並按一下 [儲存]。

    7. 此使用者的角色方塊會隨指定的角色而更新。

  7. 按一下 [儲存] 以儲存變更。

啟用現有使用者以存取 Sun Java System Portal Server

當您在 Identity Server 的現有實例上安裝 Sun Java System Portal Server 時,使用者並未註冊為使用 Sun Java System Portal Server Desktop。為了使用者能存取 Desktop,您必須啟用它們。使用下列程序來啟用預設組織或其他組織中的使用者。

若要啟用預設組織中的使用者

在開始之前,您必須取得某些配置資訊。如果您不知道配置的所有詳細資訊,可以使用
/var/sadm/pkg/SUNWps/pkginfo 檔案的程序檔擷取資訊。

  1. /var/sadm/pkg/SUNWps/pkginfo 檔案決定或擷取資訊:
  2. 目錄管理員的區別名稱 (稱為 DS_DIRMGR_DN/ )。預設值是 cn=Directory Manager
  3. 目錄管理員密碼 (稱為 DS_DIRMGR_PASSWORD/ )。
  4. 目錄伺服器的完全合格網域名稱 (稱為 DS_HOST/ )。
  5. 目錄伺服器執行的連接埠 (稱為 DS_PORT/ )。預設值是 389。
  6. 目錄樹的根字尾 (稱為 DS_ROOT_SUFFIX/ )。預設值是 dc=orgname,dc=com (such as dc=sun,dc=com)
  7. Sun Java System Portal Server 安裝的預設組織 (稱為 DS_DEFAULT_ORG/ )。預設值是 o=domain-name
  8. Sun Java System Portal Server 安裝的基本目錄 (稱為 /BaseDir/ )。預設值是 /opt
  1. 變更目錄為 Identity Server 公用程式目錄。例如,如果基本目錄是 /opt,請輸入:

    2. cd /Identity_Server_BaseDir/SUNWam/bin

  2. 如果目錄伺服器與預設組織的根字尾不相同,請執行下列指令:

    3. ./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "ou=People,/DS_DEFAULT_ORG/,/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed 's/^version.*//' > /tmp/.tmp_ldif_file1

  3. 如果目錄伺服器與預設組織的根字尾相同,請執行下列指令:

    4. ./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "ou=People,/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed '/^version.*//'> /tmp/.tmp_ldif_file1

  4. 執行下列指令

    5. grep "^dn" /tmp/.tmp_ldif_file1 | awk '{
    print $0
    print "changetype: modify
    print "add: objectclass"
    print "objectclass: sunPortalDesktopPerson"
    print "objectclass: sunPortalNetmailPerson\n" }'>
    /tmp/.tmp_ldif_file2

  5. 執行下列指令。

    6. ./ldapmodify -c -h DS_HOST -p DS_PORT \ -D DS_DIRMGR_DN -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2

  6. 移除所有暫存檔。

    7. rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2

若要啟用非預設組織中的使用者

  1. /var/sadm/pkg/SUNWps/pkginfo 檔案決定或擷取資訊:
  2. 目錄管理員的區別名稱 (稱為 DS_DIRMGR_DN/ )。預設值是 cn=Directory Manager
  3. 目錄管理員密碼 (稱為 DS_DIRMGR_PASSWORD/ )。
  4. 目錄伺服器的完全合格網域名稱 (稱為 DS_HOST/ )。
  5. 目錄伺服器執行的連接埠 (稱為 DS_PORT/ )。預設值是 389。
  6. 目錄樹的根字尾 (稱為 DS_ROOT_SUFFIX/ )。預設值是 dc=orgname,dc=com (such as dc=sun,dc=com)
  7. 您想要更新使用者的 Sun Java System Portal Server 安裝的組織 (稱為 DS_ORG_TO_UPDATE/ )。預設值是 "。
  8. Sun Java System Portal Server 安裝的基本目錄 (稱為 /BaseDir/ )。預設值是 /opt
  9. 為包含您要啟用的現有使用者的組織或子組織註冊服務。如需程序上的資訊,請參閱若要註冊服務
  10. 為您註冊的每個服務建立範本。如需程序上的資訊,請參閱若要建立服務的範本
  11. 建立與指定每個服務的策略。如需詳細資訊,請參閱若要為同等組織或子組織註冊策略服務若要為同等組織或子組織建立參照策略若要為同等組織或子組織建立一般策略
  12. 設定 URL 為重新導向組織中成功認證的使用者。請參閱「若要成功的重新導向登入使用者至 Portal Desktop URL」。
  13. 變更目錄為 Identity Server 公用程式目錄。例如,如果基本目錄是 /opt,請輸入

    14. cd /Identity_Server_BaseDir/SUNWam/bin

  14. 啟用組織內的使用者,請執行下列操作之一:
    • 若只要啟用定義為 DS_ORG_TO_UPDATE/  特定組織內的使用者,則使用下列指令:

      • ./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "ou=People,/DS_ORG_TO_UPDATE/,/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1

    • 若要啟用所有組織中的使用者,則使用下列指令:

      • ./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed '/^version.*//'> /tmp/.tmp_ldif_file1

  15. 執行下列指令:

    16. grep "^dn" /tmp/.tmp_ldif_file1 | awk '{
    print $0
    print "changetype:modify
    print "add:objectclass"
    print "objectclass:sunPortalDesktopPerson"
    print "objectclass:sunPortalNetmailPerson\n" }' > /tmp/.tmp_ldif_file2

  16. 執行下列指令:

    17. ./ldapmodify -c -h DS_HOST -p DS_PORT \ -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2

  17. 移除所有暫存檔。

    18. rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2

  18. 變更目錄為 Portal Server 公用程式目錄。

    19. cd /Identity_Server_BASEDIR/SUNWps/bin

  19. 執行下列以載入您非預設組織的顯示設定檔。

    20. ./dpadmin modify -u "uid=amadmin,ou=people,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" -w DS_DIRMGR_PASSWORD -d "NON_DEFAULT_ORG,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" \ IDSAME_BASEDIR/SUNWps/samples/desktop/dp-org.xml

  20. 若要啟用其他組織的使用者,請重複步驟步驟 7步驟 13

建立新的入口網站組織快速啟動

下列工作描述建立新組織並啟用它供入口網站使用。依預設,當您登入時,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  1. 建立新組織。
    1. 選取 [檢視] 功能表中的 [組織]。
    2. 按一下 [新增]。

      3. [建立組織] 的頁面會在資料窗格中開啟。

    3. 輸入新組織的名稱。[組織狀態] 應該是 [作用中]。按一下 [建立]。

      4. 新建立的組織會出現在導覽頁面中。

  2. 註冊新組織的服務。
    1. 在導覽窗格中從 [檢視] 功能表選取 [組織],並且從 [名稱] 功能表選取新建立的組織。
    2. 從 [檢視] 功能表中選取 [服務]。
    3. 按一下 [註冊]。

      4. [註冊服務] 的頁面出現在資料窗格中。按一下下列最少服務的核取方塊,然後按一下 [註冊]。

      • LDAP
      • 成員
      • 策略配置
      • Portal Desktop
      • 訂閱

        • 新註冊的服務會出現在導覽窗格中。

    4. 按一下特性箭頭配置每個服務。按一下 [建立] 以修改配置屬性。 如需非 Portal Server 配置特定的屬性描述,請參閱 「Sun Java System Identity Server 管理指南」

      注意

      子組織必須獨立於父系組織註冊其服務。

  3. 如有必要,建立註冊服務的範本。
    1. 在導覽窗格 [檢視] 功能表中選取 [服務]。
    2. 一個接一個按下服務旁的特性箭頭圖示並建立範本。
  4. 建立新組織的 Desktop 參照策略。

    5. 參照必須定義父系組織為規則中的資源,且必須包含 SubOrgReferral 與作為參照中值的子組織。

    1. 選取位置窗格中的 [識別管理]。
    2. 從 [檢視] 功能表中選取 [策略]。
    3. 按一下 [新增] 以建立新策略。

      4. [建立策略] 的頁面出現在資料窗格中。

    4. 對於名稱,請鍵入 SubOrgReferral_Desktop。然後按一下 [建立]。
    5. 選取 [服務] 中的 [Portal Desktop],然後按一下 [下一步]。
    6. 在資料窗格中從 [檢視] 功能表按一下 [規則],並按一下 [新增]。確定已選取 [Portal Desktop] 然後按一下 [建立]。
    7. 在資料窗格中從 [檢視] 功能表按一下 [參照],並按一下 [新增]。確定已為資料窗格中的 [值] 選取子組織的名稱,並按一下 [建立] 以完成策略的配置。
  5. 為新組織建立一般 [Portal Desktop] 策略。
    1. 從 [檢視] 功能表中選擇 [策略]。

      2. 該組織的策略會顯示。

    2. 在導覽窗格中選取 [新增]。[新策略] 的頁面會在資料窗格中開啟。
    3. 確定您在 [策略類型] 中選取 [一般]。
    4. 在資料窗格中從 [檢視] 功能表選擇 [規則],並按一下 [新增]。[新增規則] 的頁面會在資料窗格中開啟。
    5. 從 [服務] 功能表選取 [Portal Desktop],並按一下 [下一步]。確定已核取 [有權限執行 Desktop]。
    6. 在資料窗格中從 [檢視] 功能表選擇 [主旨],並按一下 [新增]。[新增主旨] 的頁面會在資料窗格中開啟。

      7. 如果 [策略配置服務] 的服務範本中沒有配置 [LDAP 連結密碼],請在警告訊息 [沒有符合的項目。請重新修改您的搜尋] 中按一下 [新增主旨] 頁面結果。

    7. 選取 [Portal Desktop] 策略會套用的主旨,並選擇 [下一步] 以完成主旨配置。
    8. 按一下 [建立] 以完成策略的配置。
  6. 為新組織建立「訂閱」參照策略。

    7. 參照必須定義父系組織為規則中的資源,且必須包含 SubOrgReferral 與作為參照中值的子組織

    1. 選取位置窗格中的 [識別管理]。
    2. 從 [檢視] 功能表中選取 [策略]。
    3. 按一下 [新增] 以建立新策略。

      4. [建立策略] 的頁面出現在資料窗格中。

    4. 對於名稱,請鍵入 SubOrgReferral_Subscriptions。然後按一下 [建立]。
    5. 選取 [服務] 中的 [訂閱],然後按一下 [下一步]。
    6. 在資料窗格中從 [檢視] 功能表按一下 [規則],並按一下 [新增]。確定已選取 [訂閱] 然後按一下 [建立]。
    7. 在資料窗格中從 [檢視] 功能表按一下 [參照],並按一下 [新增]。確定已為資料窗格中的 [值] 選取子組織的名稱,並按一下 [建立] 以完成策略的配置。
  7. 為新組織建立一般「訂閱」策略。
    1. 從 [檢視] 功能表中選擇 [策略]。

      2. 該組織的策略會顯示。

    2. 在導覽窗格中選取 [新增]。[新策略] 的頁面會在資料窗格中開啟。
    3. 確定您在 [策略類型] 中選取 [一般]。
    4. 在資料窗格中從 [檢視] 功能表選擇 [規則],並按一下 [新增]。[新增規則] 的頁面會在資料窗格中開啟。
    5. 從 [服務] 功能表選取 [訂閱],並按一下 [下一步]。確定已核取 [有權限執行 Desktop]。
    6. 在資料窗格中從 [檢視] 功能表選擇 [主旨],並按一下 [新增]。[新增主旨] 的頁面會在資料窗格中開啟。
    7. 選取 [訂閱] 策略會套用的主旨,並選擇 [下一步] 以完成主旨配置。
    8. 按一下 [建立] 以完成策略的配置。
  8. 在新組織中建立新使用者。
    1. 選取位置窗格中的 [識別管理]。
    2. 選取 [檢視] 功能表中的 [組織]。
    3. 選取新建立的組織。
    4. 選取導覽窗格中的使用者並按一下 [特性] 箭頭。
    5. 從 [檢視] 功能表中選取 [服務]。
    6. 按一下 [新增] 以選擇要指定給使用者的服務。
    7. 按一下 [儲存]。
  9. 啟用新組織的桌面服務。
    1. 選取位置窗格中的 [識別管理]。
    2. 選取 [檢視] 功能表中的 [組織]。
    3. 選取新建立的組織。
    4. 從 [檢視] 功能表中選取 [服務]。
    5. 選取 [Portal Desktop]。
    6. 在 [預設通道名稱] 中將值從 DummyChannel 變更為 JSPTabContainer (或新組織將使用的頂層容器名稱)。
    7. 在 [Portal Desktop 類型] 中將值從預設變更為 sampleportal (或新組織將使用的桌面類型)。
  10. 存取新組織的 Desktop。
    1. 登出管理主控台。
    2. 開啟瀏覽器頁面並鍵入:

      3. http://server:port/amserver/UI/login?org=neworg

      使用者的 Desktop 應該會出現。

配置認證

本節描述如何配置 Sun Java System Portal Server 認證。Identity Server 提供認證的架構。認證是透過驗證使用者身份的 Plug-in 模組來實施。Identity Server 提供七種不同的認證模組以及核心認證模組。Identity Server 管理主控台 用於設定預設值、註冊認證服務、建立組織的認證範本,與啟用服務。因為核心認證模組提供全面的認證配置,在您可配置任何特定的認證模組之前,必須先註冊核心認證模組並為每個組織建立其範本。

備註       

在 Sun Java System Identity Server 6 2004Q2 版本中不支援 Sun ONE Identity Server 5.1 管理主控台提供的認證功能表配置功能。 如果您需要配置有效認證模組的可選清單,請使用 Identity Server 管理主控台將每個認證模組設定為與認證層級屬性相同的值。如需配置認證模組的資訊,請參閱若要配置認證功能表

安裝時,在預設的組織中已註冊核心認證並建立其範本。此外,安裝也註冊並建立下列認證模組的範本:

配置認證模組的高層級步驟如下:

  1. 為每個新組織註冊核心認證服務。如需註冊服務的步驟,請參閱若要註冊服務
  2. 建立核心認證服務的範本。如需建立服務範本的步驟,請參閱若要建立服務的範本
  3. 註冊認證服務以支援每個組織。如需註冊服務的步驟,請參閱若要註冊服務
  4. 建立認證服務的服務範本以支援組織。如需建立認證服務範本的步驟,請參閱 若要建立服務的範本。 如需設定服務屬性的資訊,請參閱「Identity Server 管理指南」的第 5 章「驗證選項」。
  5. 配置認證功能表。如需配置認證順序的步驟,請參閱若要配置認證功能表
  6. 配置順序以使用認證服務。如需配置認證順序的步驟,請參閱若要配置認證順序

依認證層級的認證

每個認證模組都能與其認證層級的整數值相關。按一下 [服務配置] 中認證模組的 [特性] 箭頭可以指定認證層級,而且變更模組 [認證層級] 屬性的對應值。一旦使用者已認證一或多個認證模組,越高的認證層級定義越高的使用者信任層級。

若要配置認證功能表

使用者可以用特定的認證層級存取認證模組。例如,使用者可以用具有下列語法的使用者身份執行登入:

http://hostname:port/deploy_uri/UI/Login?authlevel=auth_level_value

認證層級大於或等於 auth_level_value 的所有模組將會顯示為認證功能表讓使用者選擇。如果只找到一個符合的模組,該認證模組的登入頁面會直接顯示。

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,當您登入時,位置窗格中的 [識別管理] 及 [導覽] 窗格中的 [組織] 皆已選取。

  2. 導覽至您要配置認證的組織或子組織。

    3. 使用導覽窗格中的 [檢視] 功能表

  3. 從 [檢視] 功能表選擇 [服務],並按一下 [註冊]。
  4. 按一下 [核心] 旁的特性箭頭。
  5. 在 [組織] 區段的 [組織認證模組] 欄位中選取適當的認證模組以啟用。

    6. 依預設,Sun Java System Portal Server 安裝會啟用 LDAP 與成員。

  6. 為每個認證模組在 [預設認證層級] 中輸入值 (預設是 0)。

    7. 為了在認證功能表中出現,每個認證模組的值必須相同。

  7. 按一下 [儲存]。

若要配置認證順序

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,當您登入時,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至您要配置認證的組織或子組織。

    3. 使用導覽窗格中的 [檢視] 功能表

  3. 從 [檢視] 功能表選擇 [服務],並按一下 [註冊]。
  4. 按一下 [核心] 旁的特性箭頭。
  5. 在 [組織] 區段的 [組織認證模組] 欄位中選取適當的認證模組以啟用。

    6. 依預設,Sun Java System Portal Server 安裝會啟用 LDAP 與成員。

  6. 為每個認證模組在 [預設認證層級] 中輸入值 (預設是 0)。

    7. 為了在認證功能表中出現,每個認證模組的值必須相同。

  7. 在 [組織認證配置] 中選取 [編輯] 以指定每個認證模組的屬性資訊。
    1. 按一下 [新增] 將認證模組新增至功能表。
    2. 按一下 [重新排序] 以變更認證模組將出現在認證模組的順序。
    3. 按一下 [儲存] 以儲存屬性資訊。
  8. 按一下 [儲存]
  9. 使用下列 URL 藉由登入管理伺服器驗證認證功能表會出現適當的選項。

    10. http://host:port/amserver/UI/login

    如果這不是預設的組織,請使用下列 URL 驗證組織的認證功能表:

    http://host:port/amserver/UI/login?org=org_name

若要配置 LDAP 認證至外部目錄

當您安裝 Sun Java System Portal Server 時,安裝程式會自動配置 LDAP 認證至目錄實例。安裝程式讓您在本機伺服器上安裝目錄的內部實例,並配置 LDAP 認證至該內部目錄或配置 LDAP 認證至預先存在的目錄外部實例。您一旦有初始配置,就會有您想要配置認證至外部 LDAP 目錄的某些分析藍本。例如,為了效能或安全性的原因,您可能想隔離特定組織的認證資訊到專屬 LDAP 伺服器上。

備註       

請勿配置認證到包含 amadmin 使用者之組織的外部 LDAP 目錄。這能防止 amadmin 使用者認證並將您鎖定於 管理主控台 之外。如果您不慎配置了包含 amadmin 使用者的組織,則必須使用 amadmin 的完整 DN 登入,然後修正 LDAP 範本。amadmin DN 列於 AMConfig.properties 檔案中的 com.sun.authentication.super.user 屬性。

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及 [導覽] 窗格中的 [組織] 皆已選取。

  2. 導覽至您要配置認證的組織或子組織。

    3. 使用導覽窗格中的 [檢視] 功能表。

  3. 從 [檢視] 功能表中選擇 [服務]。
  4. 從 [Identity Server 配置] 中按一下 [核心] 旁的特性箭頭。
  5. 從 [動態使用者設定檔] 功能表核取 [動態建立]。
  6. 從 [Identity Server 配置] 中按一下 LDAP 旁的特性箭頭。
  7. 為您的伺服器設定適當的 LDAP 屬性。下列範例設定對連接埠 389 上 LDAP 伺服器 ds-sesta1.sesta.com 的存取與 ou=people,dc=sesta,dc=com 的搜尋起點,並使用超級使用者連結 cn=root,ou=people,dc=sesta,dc=com

    8. 主要 LDAP 伺服器與連接埠:ds-sesta1.sesta.com:389
    次要 LDAP 伺服器與連接埠:ds-sesta1.sesta.com:389
    啟動使用者搜尋的 DN:ou=people,dc=sesta,dc=com
    超級使用者連結的 DN:cn=root,ou=people,dc=sesta,dc=com
    超級使用者連結的密碼:root password
    使用者命名屬性:uid
    使用者項目搜尋屬性:employeenumber
    使用者搜尋過濾器:空白
    搜尋範圍:subtree
    啟用 LDAP 伺服器的 SSL:off
    傳回使用者 DN 至認證:off
    認證層級: 0

  8. 按一下 [儲存]。

配置匿名認證

Sun Java System Portal Server 支援兩種實施匿名認證的方法:

為了支援匿名認證,Sun Java System Portal Server 安裝程式建立了 authlessanonymous 使用者帳戶,並在下列兩種「Portal Desktop」服務全域屬性中設定此使用者的存取:

Sun Java System Portal Server 能支援用下列方式同時配置「非驗證式」與匿名認證:

  1. 配置 Desktop 在「非驗證式」模式中作業。
  2. 配置認證功能表讓「匿名」成為顯示的選擇之一。
  3. 用瀏覽器 A 存取 Desktop,以便在「非驗證式」模式中存取。
  4. 用瀏覽器 B 存取 http:/server/amserver/UI/login,並選取 [匿名] 然後查看 Desktop。

此時您在瀏覽器 A 中使用 [非驗證式] 模式而在瀏覽器 B 中使用匿名模式。

存取 Desktop 出現兩種不同方式。一種 [非驗證式] 存取是透過直接參照至 /portal/dt,另一種 (匿名) 則是間接透過 /amserver/UI/login

配置 Identity Server 在功能表中只有匿名登入,可以避免 [Identity Server 登入] 功能表。

因為當您存取 /portal/dt 而沒有 Identity Server 階段作業時,不能同時支援「非驗證式」存取與匿名認證,兩種情形只會發生其一:

    1. Desktop 會重新導向 /amserver/UI/login,而這個會自動執行匿名登入並將您重新導回 /portal/dt
    2. Desktop 會在「非驗證式」存取模式中執行。

您不需要停用匿名認證以使用「非驗證式」存取。但如果您要以上項目之一作業,則必須停用「非驗證式」存取模式。

若要配置匿名認證 (匿名使用者階段作業方法)

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至您要配置認證的組織或子組織。

    3. 所有已建立的組織會顯示在導覽窗格中。

  3. 選取位置窗格中的 [服務配置]。
  4. 按一下 [Portal Desktop] 服務旁的特性箭頭。

    5. [Portal Desktop] 屬性隨即顯示在資料窗格中。

  5. 選取列於 [授權的無認證使用者 ID] 屬性的值並按一下 [移除]。
  6. 選取列於 [預設的無認證使用者 ID] 屬性的值並按一下 [移除]。
  7. 按一下 [儲存]。
  8. 選擇位置窗格中的 [識別管理]。
  9. 從 [檢視] 功能表中選擇 [組織]。

    10. 所有已建立的組織會顯示在導覽窗格中。

  10. 導覽至您要配置認證的組織或子組織。

    11. 使用位置窗格中的 [檢視] 功能表。

  11. 從 [顯示] 功能表中選擇 [服務]。
  12. 註冊並配置 [匿名] 服務。

    13. 如需詳細資訊,請參閱若要註冊服務若要建立服務的範本

  13. 將 [匿名] 新增至 [認證] 功能表。

    14. 如需詳細資料,請參閱若要配置認證順序

  14. 建立 anonymous 使用者帳戶。

    15. 如需詳細資料,請參閱若要加入新使用者

若要配置匿名認證 (非驗證式存取)

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 依預設,當您登入時,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

    3. 所有已建立的組織會顯示在導覽窗格中。

  3. 導覽至您要配置認證的組織或子組織。

    4. 使用導覽窗格中的 [檢視] 功能表。

  4. 使用密碼 authlessanonymous 建立 authlessanonymous 使用者帳戶。

    5. 如需詳細資料,請參閱若要加入新使用者

  5. 選取位置窗格中的 [服務配置]。
  6. 在導覽窗格中選取 [Portal Desktop]。
  7. authlessanonymous 使用者的完全區別名稱新增至 [授權的無認證使用者 ID] 屬性。例如:

    8. uid=authlessanonymous, ou=People, dc=sesta, dc=com

  8. 在 [預設的無認證使用者 ID] 屬性中指定 authlessanonymous 使用者的完全區別名稱。
  9. 按一下 [儲存]。

您必須關閉與重新啟動您的瀏覽器,以使用新配置的「非驗證式使用者 ID」方法存取 Desktop。「非驗證式使用者 ID」方法讓您指定查詢字串中使用者帳戶的 UID。例如,若要從 sestat.com 預設組織中存取 Desktop,請使用下列 URL:

http://server:port/portal/dt?dt.suid=uid= authlessanonymous, ou=People,dc=sesta, dc=com

備註   

如果使用者登入瀏覽器而不是使用者自己的語言環境,所有其他使用者會共用登入提示時相同的語言環境。

有多種選項可避免這個問題。

  • dp-anon.xml 中將 refreshTime 的值變更為 JSPTabContainer 的 0 以關閉快取。
  • 您可以指定多個非驗證式使用者,每個語言環境一個非驗證式使用者,並將非驗證式桌面根據瀏覽器的語言環境重新導向正確的使用者。

為聯合使用者配置 Portal Server

Sun Java System Portal Server 軟體支援具有符合 Liberty Alliance 技術規定的聯合身份使用者。Liberty 單次登入的聯合使用者可以存取 Portal Server 的個人化桌面而不需要進一步認證。

如需更多 Liberty 啟用認證服務的資訊,請參閱「Sun Java System Identity Server 管理指南」。 可以在下列位置找到使用 Portal Server 作為服務提供者的範例配置:

PortalServerBaseDir/SUNWps/samples/liberty

若要配置聯合使用者

依預設,聯合使用者沒有權限存取作為服務提供者的 Sun Java System Portal Server。 Portal Server 可以將聯合使用者作為:

若要為聯合使用者配置非驗證式存取

依預設,聯合使用者沒有權限存取非驗證式 Portal Desktop。

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至您要配置認證的組織或子組織。

    3. 使用導覽窗格中的 [檢視] 功能表。

  3. 選取位置窗格中的 [服務配置]。
  4. 在導覽窗格中選取 [Portal Desktop]。
  5. 取消核取 [停用聯合使用者的非驗證式存取]。
  6. 按一下 [儲存]。

如需非驗證式存取的更多資訊,請參閱若要配置匿名認證 (非驗證式存取)

若要配置 UNIX 認證

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 在 [識別管理] 中從 [檢視] 功能表選擇 [組織]。

    3. 所有已建立的組織會顯示在導覽窗格中。

  3. 選取位置窗格中的 [服務配置]。
  4. 在導覽窗格中按一下 UNIX 旁的特性箭頭 (在 [Identity Server 配置] 之下)。
  5. 為您的伺服器設定適當的 UNIX 屬性。
  6. 按一下 [儲存]。
  7. 導覽至您要配置認證的組織或子組織。
    8. 使用導覽窗格中的 [檢視] 功能表。

  8. 從 [檢視] 功能表中選擇 [服務]。
  9. 按一下導覽窗格中的 [註冊]。
  10. 在資料窗格中按一下 [認證] 之下的 [核心]。
  11. 在資料窗格中從 [組織認證模組] 功能表中選取 [Unix]。
  12. 按一下 [儲存]。

若要配置組織層級的 UNIX 認證

若要配置 UNIX 認證中文件說明的 UNIX 認證是為全面配置 UNIX。此程序用於在組織層級配置。

  1. 在您的瀏覽器網路位址欄位輸入 http://fullservername:port/amconsole 以管理員身份 (amadmin) 登入 Sun Java System Identity Server 管理主控台。
  2. 在登入畫面輸入 amadmin 為使用者 ID 以及您在安裝時選擇的 passphrase。

    3. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  3. 在 [識別管理] 中從 [檢視] 功能表選擇 [組織]。

    4. 所有已建立的組織會顯示在導覽窗格中。

  4. 從 [檢視] 功能表中選擇 [服務]。
  5. 選取 [註冊]。
  6. 在右窗格核取 [UNIX] 並按一下 [註冊]。
  7. 選取 UNIX 旁的特性箭頭。
  8. 在右窗格中選取 [建立]。
  9. 為您的伺服器設定適當的 UNIX 屬性。
  10. 選取 [儲存]。
  11. 選取 [核心] 旁的特性箭頭。
  12. 反白顯示 [認證] 功能表的 [UNIX] 並選取 [儲存]。

Sun Java System Portal Server 如何使用策略管理的概述

本節描述如何使用 Identity Server 策略管理功能。 如需建立、修改與刪除策略的程序,請參閱 Identity Server 文件。

Identity Server 策略服務能讓您定義規則或存取資源。政策能以角色或組織為基礎,而且能提供權限或定義限制。Sun Java System Portal Server 隨附三種策略:

依預設,「策略配置」服務會自動註冊於頂層組織。子組織必須獨立於其父系組織註冊其策略服務。您建立的任何策略服務必須註冊於所有組織。使用策略的高層級步驟為:

  1. 為組織註冊「策略」服務。(此步驟會自動為安裝時指定的組織完成。)子組織不會繼承其父系的服務,所以您必須註冊子組織的「策略」服務。如需詳細資料,請參閱若要註冊服務
  2. 為同等組織或子組織建立參照策略。您可以授權組織的策略定義與決定給其他組織。(或者,可以將資源的策略決策委託給其他策略產品。)參照策略控制策略建立與評估兩者的策略授權。它是由規則與參照本身組成。如果策略服務包含不需要資源的動作,則無法為子組織建立參照策略。如需詳細資料,請參閱若要為同等組織或子組織建立參照策略
  3. 為同等組織或子組織建立一般策略。您建立一般策略來定義存取權限。一般策略可由多個規則、物件與條件所組成。如需詳細資料,請參閱若要為同等組織或子組織建立一般策略

若要為同等組織或子組織註冊策略服務

同等組織或子組織不會繼承其父系的服務,所以您必須註冊同等組織或子組織的「策略」服務。

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至您要建立參照策略的組織或子組織。

    3. 所有已建立的組織會顯示在導覽窗格中。

  3. 在導覽窗格中從 [檢視] 功能表選取 [組織],並且從 [名稱] 功能表選取所需的組織。
  4. 從 [檢視] 功能表中選取 [服務]。
  5. 按一下 [註冊]。

    6. [註冊服務] 的頁面出現在資料窗格中。按一下下列最少服務的核取方塊,然後按一下 [註冊]。

    • LDAP
    • 成員
    • 策略配置
    • Portal Desktop
    • NetMail

      • 新註冊的服務會出現在導覽窗格中。

  6. 按一下特性箭頭配置每個服務。按一下 [建立] 以修改配置屬性。 如需非 Portal Server 配置特定的屬性描述,請參閱「Sun Java System Identity Server 管理指南」。

若要為同等組織或子組織建立參照策略

您可以授權組織的策略定義與決定給其他組織。參照策略控制策略建立與評估兩者的策略授權。它是由規則與參照本身組成。參照必須定義父系組織為規則中的資源,且必須包含 SubOrgReferral 或 PeerOrgReferral 與作為參照中值的組織名稱

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至您要建立參照策略的組織或子組織。

    3. 所有已建立的組織會顯示在導覽窗格中。

  3. 從 [檢視] 功能表中選取 [策略]。
  4. 按一下 [新增] 以建立新策略。

    5. [建立策略] 的頁面出現在資料窗格中。

  5. 名稱請輸入 SubOrgReferral_organization 或 PeerOrgReferral_organization。確定您在 [策略類型] 中選取 [參照]。然後按一下 [建立]。
  6. 在 [服務] 中選取服務類型並按一下 [下一步]。
  7. 在資料窗格中從 [檢視] 功能表按一下 [規則] 並按 [新增],然後按一下 [下一步]。

    8. [新增規則] 範本會出現在資料窗格中。

  8. 在 [規則名稱] 中輸入規則的名稱,並按一下 [建立]。
  9. 按一下資料窗格中 [檢視] 功能表的 [參照],並按一下 [新增]。

    10. [新增參照] 範本會出現在資料窗格中。

  10. 在名稱中輸入 SubOrgReferralName。

    11. 確定已為資料窗格中的 [值] 選取子組織的名稱,並按一下 [建立] 以完成策略的配置。

  11. 在資料窗格中按一下 [儲存]。

    12. 當資料已儲存,會顯示訊息 [策略屬性已儲存]。

若要為同等組織或子組織建立一般策略

您建立一般策略來定義存取權限。一般策略可由多個規則、物件與條件所組成。

  1. 以管理員的身份登入 Sun Java System Identity Server 管理主控台。

    2. 依預設,位置窗格中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

  2. 導覽至您要指定策略的組織或子組織。

    3. 所有已建立的組織會顯示在導覽窗格中。

  3. 從 [檢視] 功能表中選擇 [策略]。

    4. 該組織的策略會顯示。

  4. 在導覽窗格中選取 [新增]。[新策略] 的頁面會在資料窗格中開啟。
  5. 名稱請輸入 SubOrgNormal_organization 或 PeerOrgNormal_organization。確定您在 [策略類型] 中選取 [一般]。按一下 [建立]。
  6. 從 [服務] 功能表選取服務,並按一下 [下一步]。在 [規則名稱] 中輸入規則的名稱。確定已選取適當的核取方塊以授與執行權限給所需的服務。
  7. 在資料窗格中從 [檢視] 功能表選擇 [規則],並按一下 [新增]。[新增規則] 頁面會在資料窗格中開啟。
  8. 在資料窗格中從 [檢視] 功能表選擇 [主旨],並按一下 [新增]。[新增主旨] 的頁面會在資料窗格中開啟。
  9. 按一下 [建立] 以完成策略的配置。

    10. 當資料已儲存,會顯示訊息 [策略屬性已儲存]。

登入 Sun Java System Portal Server 桌面

若您已安裝範例入口網站,則使用者將能夠登入範例 Desktop。此外,Sun Java System Portal Server 支援其他各種使用者登入。本節描述使用者可以登入 Sun Java System Portal Server 的某些其他使用者方式。

若要登入範例 Portal Desktop

若要存取範例 Desktop,請輸入下列 URL:

http://server:port/portal/dt

若要登入子組織

如果使用者組織的存取權限,他們也能登入該組織內的子組織。例如,如果使用者能存取具有子組織 B 的組織 A,請輸入下列 URL 以登入子組織 B:

http://server:port/amserver/UI/login?org=B

若要使用匿名認證登入

備註   

您必須註冊匿名認證模組以支援匿名認證。如需註冊與啟用匿名認證模組的資訊,請參閱配置匿名認證

  1. 使用下列 URL 登入:

    2. http://server:port/portal/dt

  2. 在 Identity Server 認證頁面,按一下 [匿名]。
  3. 範例 Desktop 會出現。
  4. 如果需要且如果「成員」認證模組已註冊,請使用 [登入] 畫面建立並註冊使用者 ID。

管理記錄

Sun Java System Portal Server 使用 Identity Server 記錄 API 並進行除錯。

依預設,Sun Java System Portal Server 日誌與除錯檔案位於:

Identity Server 管理主控台 允許您定義下列記錄屬性:

如需更多資訊,請參閱「Identity Server 管理員指南」。



上一頁      目錄      索引      下一頁     

Copyright 2004 Sun Microsystems, Inc. 版權所有。