Neue Funktionen in dieser Version

Eine Liste mit neuen Funktionen der Access Manager-Patch-Versionen finden Sie in Access Manager 7 2005Q4 Patch-Versionen. Die ursprüngliche Version von Access Manager 7 2005Q4 enthält die folgenden neuen Eigenschaften:

• Access Manager-Modusarten

• Neue Access Manager-Konsole

• Identitätsrepository

• Access Manager-Informationsbaum

• Änderungen des Sitzungsfailovers

• Benachrichtigung über eine Änderung der Sitzungseigenschaft

• Beschränkungen der Sitzungsanzahl

• Verteilte Authentifizierung

• Unterstützung von mehreren Authentifizierungsmodulinstanzen

• Authentifizierung “Named Configuration” oder Namespace “Chaining”

• Richtlinienmodulerweiterungen

• Seitenkonfiguration

• Stapelverbund

• Protokollierungserweiterungen

Access Manager-Modusarten

Access Manager 7 2005Q4 bietet sowohl Realm- als auch Legacy-Modus. Beide Modusarten unterstützen Folgendes:

• Die Funktionen von New Access Manager 7 2005Q4

• Die Funktionen von Access Manager 6 2005Q1 mit Ausnahme der folgenden Einschränkungen:

  • Beim Erstellen von Bereichen werden die entsprechenden Organisationen in Sun Java System Directory Server nicht erstellt.

  • Die neue Access Manager 7 2005Q4 Console kann keine CoS-Vorlagenpriorität (Class of Service) festlegen. Weitere Informationen finden Sie unter Die neue Access Manager-Konsole kann keine CoS-Vorlagenprioritäten festlegen (6309262).

• Identitätsrepositories in Sun Java System Directory Server und anderen Datenspeichern

Der Legacy-Modus ist erforderlich für:

• Sun Java System Portal Server

• Sun Java System Communications Services-Server, u.a. Messaging Server, Calendar Server, Instant Messaging oder Delegated Administrator

• Koexistenzbereitstellungen, wenn Access Manager 6 2005Q1 und Access Manager 7 2005Q4 auf denselben Directory Server zugreifen

Neue Access Manager-Konsole

Die Access Manager Console wurde für diese Version neu entworfen. Wenn Access Manager jedoch mit Portal Server, Messaging Server, Calendar Server, Instant Messaging oder Delegated Administrator bereitgestellt wird, muss Access Manager im Legacy-Modus installiert und die Access Manager 6 2005Q1 Console verwendet werden:

Weitere Informationen finden Sie unter Kompatibilitätsprobleme.

Identitätsrepository

Ein Access Manager-Identitätsrepository enthält Informationen zu Identitäten, wie Benutzern, Gruppen und Rollen. Sie können ein Identitätsrepository unter Verwendung von Access Manager oder einem anderen Bereitstellungsprodukt, wie Sun Java System Identity Manager, erstellen und verwalten.

In der aktuellen Version kann ein Identitätsrepository entweder in Sun Java System Directory Server oder in Microsoft Active Directory vorhanden sein. Access Manager kann über Lese-/Schreibzugriff oder schreibgeschützten Zugriff auf ein Identitätsrepository verfügen.

Access Manager-Informationsbaum

Der Access Manager-Informationsbaum enthält Informationen zum Systemzugriff. Jede Access Manager-Instanz erstellt und verwaltet einen separaten Informationsbaum in Sun Java System Directory Server. Ein Access Manager-Informationsbaum kann einen beliebigen Namen (Suffix) haben. Der Access Manager-Informationsbaum umfasst Bereiche (sowie untergeordnete Bereiche, falls erforderlich), wie im folgenden Abschnitt beschrieben.

Access Manager-Realms

Ein Bereich sowie alle untergeordneten Bereiche sind Teil des Access Manager-Informationsbaums und können Konfigurationsinformationen enthalten, die eine Reihe von Benutzern und/oder Gruppen sowie die Authentifizierung von Benutzern definieren oder auf welche Ressourcen die Benutzer zugreifen können sowie die Informationen, die Anwendungen zur Verfügung stehen, nachdem den Benutzern Zugriff auf die Ressourcen gewährt wurde. Ein Bereich oder ein untergeordneter Bereich kann auch andere Konfigurationsinformationen enthalten, u. a. die Globalisierungskonfiguration, die Passwortrücksetzungskonfiguration, die Sitzungskonfiguration, die Konsolenkonfiguration und die Benutzervoreinstellungen. Ein Bereich oder ein untergeordneter Bereich kann auch leer sein.

Sie können einen Bereich mit Access Manager Console oder dem amadmin-CLI-Dienstprogramm erstellen. Weitere Informationen erhalten Sie in der Console-Onlinehilfe oder in Kapitel 14, The amadmin Command Line Tool in Sun Java System Access Manager 7 2005Q4 Administration Guide.

Änderungen des Sitzungsfailovers

Access Manager bietet eine webcontainer-unabhängige Sitzungsfailover-Implementierung, bei der Sun Java System Message Queue (Message Queue) als Kommunikationsvermittler und die Berkeley DB von Sleepycat Software, Inc. als Sitzungsspeicherdatenbank verwendet werden. Zu den Access Manager 7 2005Q4-Erweiterungen gehören u. a. das amsfoconfig-Skript zur Konfiguration der Sitzungsfailover-Umgebung sowie das amsfo-Skript zum Starten und Anhalten des Message Queue-Brokers und des Berkeley DB-Clients.

Weitere Informationen finden Sie unter Implementing Access Manager Session Failover in Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Benachrichtigung über eine Änderung der Sitzungseigenschaft

Mithilfe der Funktion zur Benachrichtigung über eine Änderung der Sitzungseigenschaft kann Access Manager eine Benachrichtigung an bestimmte Empfänger senden, wenn eine Änderung einer bestimmten Sitzungseigenschaft auftritt. Diese Funktion tritt in Kraft, wenn das Attribut “Enable Property Change Notifications” in der Access Manager Administrator Console aktiviert ist. In einer SSO-Umgebung (Single Sign-On) kann z. B. eine Access Manager-Sitzung von mehreren Anwendungen gemeinsam verwendet werden. Wenn für eine bestimmte Sitzungseigenschaft, die in der Liste “Notification Properties” definiert ist, eine Änderung auftritt, sendet Access Manager an alle registrierten Empfänger eine Benachrichtigung.

Weitere Informationen finden Sie unter Enabling Session Property Change Notifications in Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Beschränkungen der Sitzungsanzahl

Mit der Funktion der Beschränkungen der Sitzungsanzahl kann der Access Manager-Administrator (amadmin) das “Active User Sessions”-Attribut so festlegen, dass die maximale Anzahl gleichzeitiger Sitzungen für einen Benutzer beschränkt wird. Der Administrator kann eine Beschränkung der Sitzungsanzahl für alle Benutzer oder für eine Entität, z. B. ein Unternehmen, ein Bereich, eine Rolle oder einen Benutzer, festlegen, die für mindestens einen bestimmten Benutzer gilt.

Die Beschränkungen der Sitzungsanzahl sind standardmäßig deaktiviert (OFF), der Administrator kann sie jedoch aktivieren, indem er das Attribut “Enable Quota Constraints” in der Access Manager Administrator Console festlegt.

Der Administrator kann auch das Verhalten konfigurieren, wenn ein Benutzer die Beschränkung der Sitzungsanzahl ausgeschöpft hat, indem er das Attribut “Resulting Behavior If Session Quota Exhausted” festlegt:

• DENY_ACCESS. Access Manager weist die Anmeldeanforderung für eine neue Sitzung zurück.

• DESTROY_OLD_SESSION. Access Manager zerstört die nächste auslaufende vorhandene Sitzung für denselben Benutzer und ermöglicht eine erfolgreiche neue Anmeldeanforderung.

Das Attribut “Exempt Top-Level Admins From Constraint Checking” gibt an, ob die Sitzungsbeschränkungsquoten für die Administratoren der “Top-level Admin Role” gelten.

Weitere Informationen finden Sie unter Setting Session Quota Constraints in Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide

Verteilte Authentifizierung

Access Manager 7 2005Q4 enthält die Verteilte Authentifizierungsbenutzeroberfläche. Hierbei handelt es sich um eine UI-Komponente für Remote-Authentifizierung, die eine sichere, verteilte Authentifizierung bei zwei Firewalls in einer Bereitstellung ermöglicht. Ohne die Komponente für die Verteilte Authentifizierungsbenutzeroberfläche sind die Access Manager-Dienst-URLs unter Umständen für Endbenutzer sichtbar. Dieses Problem kann durch die Verwendung eines Proxy-Servers verhindert werden. Ein Proxy-Server ist jedoch für zahlreiche Bereitstellungen keine annehmbare Lösung.

Die Komponente für die Verteilte Authentifizierungsbenutzeroberfläche wird auf einem oder mehreren Servern innerhalb der nicht sicheren Schicht (DMZ-Schicht) einer Access Manager-Bereitstellung installiert. Access Manager wird auf einem Server für die Verteilte Authentifizierungsbenutzeroberfläche nicht ausgeführt, sondern ist lediglich vorhanden, um eine Authentifizierungsschnittstelle für Endbenutzer über einen Webbrowser bereitzustellen.

Der Endbenutzer sendet eine HTTP-Anforderung an die Komponente für die Verteilte Authentifizierungsbenutzeroberfläche, die wiederum eine Anmeldeseite für den Benutzer anzeigt. Die Komponente für verteilte Authentifizierung leitet die Anforderung des Benutzers durch die zweite Firewall an den Access Manager-Server weiter. Dadurch wird vermieden, dass die Firewall für die Kommunikation zwischen Endbenutzern und Access Manager-Server ?geöffnet“ werden muss.

Weitere Informationen finden Sie im Handbuch Technical Note: Using Access Manager Distributed Authentication.

Unterstützung von mehreren Authentifizierungsmodulinstanzen

Alle Authentifizierungsmodule (Standard) bieten Erweiterungsfunktionen zur Unterstützung des untergeordneten Schemas mit der Console UI-Unterstützung. Für jeden Modultyp (geladene Modulklasse) können mehrere Authentifizierungsmodulinstanzen erstellt werden. So kann z. B. für Instanzen mit Namen wie ldap1 und ldap2 für einen LDAP-Modultyp jede Instanz auf einen anderen LDAP-Verzeichnisserver verweisen. Modulinstanzen mit demselben Namen wie ihre Typen werden zur Rückwärtskompatibilität unterstützt. Der Aufruf lautet:

server_deploy_uri/UI/Login?module=module-instance-name

Authentifizierung “Named Configuration” oder Namespace “Chaining”

In einer Organisation bzw. in einem Bereich wird ein separater Namensraum erstellt, der eine Kette von Authentifizierungsmodulinstanzen darstellt. Dieselbe Kette kann erneut verwendet werden und einer Organisation/einem Bereich, einer Rolle oder einem Benutzer zugeordnet werden. Die Authentifizierungsdienst-Instanz entspricht der Authentifizierungskette. Der Aufruf lautet:

server_deploy_uri/UI/Login?service=authentication-chain-name

Richtlinienmodulerweiterungen

Personalisierungsattribute

Zusätzlich zu Regeln, Themen und Bedingungen können Richtlinien nun auch Personalisierungsattribute (IDResponseProvider) besitzen. Die von der Richtlinienprüfung gesendete Richtlinienentscheidung umfasst nun auch richtlinienbasierte Antwortpersonalisierungsattribute in den Anwendungsrichtlinien. Es werden zwei Arten von Personalisierungsattributen unterstützt:

• Statische Attribute. Sie definieren den Attributnamen und den Wert in der Richtlinie.

• Dynamische Attribute. Sie listen die Attributnamen in den Richtlinien auf. Die Werte werden zum Zeitpunkt der Richtlinienprüfung aus den Identitätsrepository-Datenspeichern abgerufen.

Policy Enforcement Points (Agents) leiten diese Attributwerte in der Regel als HTTP-Header, Cookies oder Anforderungsattribute an die geschützte Anwendung weiter.

Access Manager 7 2005Q4 unterstützt keine benutzerdefinierten Implementierungen der Antwortdienstanbieter-Schnittstelle, die von den Kunden durchgeführt werden.

Session Property Condition

Die Implementierung der Sitzungsrichtlinie (SessionPropertyCondition) entscheidet darüber, ob eine Richtlinie für die Anforderung gilt, basierend auf den Werten der Eigenschaften, die in der Access Manager-Sitzung eines Benutzers festgelegt werden. Zum Zeitpunkt der Richtlinienprüfung gibt die Bedingung den Wert “true” nur dann aus, wenn die Access Manager-Sitzung des Benutzers über jeden in der Bedingung definierten Eigenschaftswert verfügt. Für Eigenschaften, die mit mehreren Werten in der Bedingung definiert sind, ist es ausreichend, wenn die Benutzersitzung mindestens einen für die Eigenschaft in der Bedingung aufgelisteten Wert besitzt.

Richtlinienthema

Mit der Richtlinienthemaimplementierung (Access Manager Identity Subject) können Sie Einträge aus dem konfigurierten Identity Repository als Richtlinienthemawerte verwenden.

Richtlinienexport

Sie können Richtlinien mit dem Befehl amadmin im XML-Format exportieren. Die neuen GetPolices- und RealmGetPolicies-Elemente in der Datei amAdmin.dtd unterstützen diese Funktion.

Richtlinienstatus

Eine Richtlinie hat jetzt ein Statusattribut, das auf aktiv oder inaktiv festgelegt werden kann. Während der Richtlinienprüfung werden die inaktiven Richtlinien ignoriert.

Seitenkonfiguration

Access Manager 7 2005Q4 führt das “Sitekonzept” ein, das eine zentrale Konfigurationsverwaltung für eine Access Manager-Bereitstellung liefert. Wenn Access Manager als Site konfiguriert wird, werden die Clientanforderungen immer durch den Load Balancer geleitet, was die Bereitstellung vereinfacht und die Probleme, wie eine Firewall zwischen dem Client und den Access Manager-Backend-Servern, löst.

Weitere Informationen finden Sie unter Configuring an Access Manager Deployment as a Site in Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide.

Stapelverbund

Access Manager 7 2005Q4 bietet einen Stapelverbund von Benutzerkonten für Anwendungen, die an Geschäftspartner ausgelagert werden. Zuvor musste bei einem Verbund von Konten zwischen einem Service Provider (SP) und einem Identity Provider (IDP) jeder Benutzer sowohl auf die SP- als auch auf die IDP-Sites zugreifen, Konten erstellen, falls keine vorhanden waren, und diese beiden Konten über einen Weblink miteinander verbinden. Dieser Vorgang war zeitaufwändig. Er war für eine Bereitstellung mit bereits vorhandenen Konten oder für eine Site, die selbst als Identitätsanbieter fungierte oder für die Verwendung einer seiner Partner als Authentifizierungsanbieter nicht immer geeignet.

Weitere Informationen finden Sie im Sun Java System Access Manager 7 2005Q4 Federation and SAML Administration Guide .

Protokollierungserweiterungen

Access Manager 7 2005Q4 bietet mehrere neue Protokollierungserweiterungen:

• Neue Felder (oder Spalten): Das Feld MessageID enthält die Nachrichten-ID für das protokollierte Ereignis. Das Feld ContextID enthält die Kontextkennung, die einer Sitzungskennung entspricht und für alle Ereignisse für die Anmeldesitzung eines bestimmten Benutzers gilt. Für eine bestimmte Anmeldesitzung eines Benutzers ist die ContextID in allen Protokolldateien für die protokollierten Ereignisse identisch.

• Protokollierungs-API. Die API bietet Zusätze zum Lesen von Protokolleinträgen, u. a. von einer Datenbank (DB), wenn die DB-Protokollierung konfiguriert ist. Weitere Informationen finden Sie unter LogReaderSample.java im /opt/SUNWam/samples/logging-Verzeichnis, das den Abruf von Protokolldatensätzen aus einer unstrukturierten Datei oder einem DB-Tabellenrepository zeigt.

---

Achtung –

Datenbanktabellen sind in der Regel größer als Protokolle aus unstrukturierten Dateien. Deshalb sollten Sie bei einer bestimmten Anforderung nicht alle Datensätze in einer Datentabelle abrufen, da die Datenmenge alle Access Manager-Serverressourcen verbrauchen kann.

---