Sun logo      上一個      目錄      索引      下一個     

Sun ONE Identity Server 6.1 管理指南

第 19 章
核心認證屬性

核心認證服務是所有預設認證服務的基本服務,也是使用認證 SPI 建立的任何自訂認證服務的基本服務。必須為每個希望使用任何形式認證的組織配置核心認證服務。核心認證屬性由全域屬性與組織屬性組成。套用於全域屬性的值也套用於整個 Sun ONE Identity Server 配置,並且由每個配置的組織繼承。(由於全域屬性的目標是自訂 Identity Server 應用程式,因此這些值無法直接套用於角色或組織。)在服務配置下套用於組織屬性的值將成為核心認證範本的預設值。組織註冊服務後,需要建立服務範本。註冊之後組織的管理員可以變更預設值。組織屬性不會由組織中的項目繼承。核心認證屬性分為:

全域屬性

核心認證服務中的全域屬性包括:

可插接式認證模組類別

此欄位指定 Identity Server 平台內部配置的所有組織均可以使用的認證模組的 Java 類別。依預設,包含 LDAP、SafeWord、SecurID、Application、Anonymous、HTTP Basic、Membership、Unix、Certification、NT 與 RADIUS。Identity Server 還包含一個可用於加入其他認證服務的公用 SPI。若要定義新的服務,此欄位必須採用指定每個新認證服務之完整類別名稱 (包括套裝軟體名稱) 的文字字串。

用戶端支援的認證模組

此屬性指定特定用戶端支援的認證模組清單。格式如下所示:

clientType | module1,module2,module3

此屬性在啟用了用戶端偵測時有效。

LDAP 連線區大小

此屬性指定在特定伺服器與連接埠上使用的最小與最大連線區。此屬性僅用於 LDAP 與成員身份認證服務。格式如下所示:

host:port:min:max

此連線區不同於 serverconfig.xml 中配置的 SDK 連線區。

LDAP 連線區預設大小

此屬性設定與所有 LDAP 認證模組配置一同使用的連線區預設最小值與最大值。如果 [LDAP 連線區大小] 屬性中存在主機與連接埠的項目,則不會使用 [LDAP 預設連線區大小] 中的最小與最大設定。

組織屬性

核心認證服務中的組織屬性包括:

組織認證模組

此清單指定組織可以使用的認證模組。每個管理員可為每個特定組織選擇認證類型。雖然多重認證模組的使用很靈活,但是使用者必須確定其登入設定適用於選取的認證模組。預設認證模組為 LDAP。Identity Server 含括的認證服務有:

使用者設定檔

此選項允許您為使用者設定檔指定選項。

管理員認證者

按一下 [編輯] 連結將允許您僅為管理員定義認證服務。管理員是需要 Identity Server 主控台存取權限的使用者。如果需要管理員的認證模組與一般使用者的認證模組有所不同,則可以使用此屬性。此屬性中配置的模組將存取 Identity Server 主控台時被挑選。

使用者設定檔動態建立預設角色

如果在使用者設定檔 特性中選取了 [動態建立],則此欄位指定被分配了新使用者的角色,且此新使用者的設定檔已建立。此欄位沒有預設值。管理員必須指定將分配給新使用者的角色之 DN。

指定的角色必須位於正在為其配置認證的組織下。

永久性的 Cookie 模式

此選項確定使用者是否可以重新啟動瀏覽器,並且仍然返回至其經過認證的階段作業。可以透過啟用 [永久性的 Cookie 模式] 來保留使用者階段作業。啟用了 [永久性的 Cookie 模式] 時,使用者階段作業在其永久性的 Cookie 過期或者該使用者明確登出後才會過期。過期時間在 [永久性的 Cookie 最大時間 (秒)] 中指定。預設值是不啟用 [永久性的 Cookie 模式],並且認證服務僅使用記憶體 Cookie。

用戶端必須使用登入 URL 中的 iPSPCookie=yes 參數,明確請求永久性的 Cookie。

永久性的 Cookie 最大時間 (秒)

此欄位指定永久性的 Cookie 多長時間後會過期。(必須透過選取 [永久性的 Cookie 模式] 的核取方塊來啟用它。)這一間隔時間在成功認證使用者階段作業後開始。預設值為 2147483 (時間以秒計算)。此欄位可以是 02147483 之間的任何整數值。

所有使用者的個人容器

使用者成功認證後,將擷取其設定檔。此欄位中的值指定搜尋設定檔的位置。通常,此值將為預設個人容器的 DN。加入至組織的所有使用者項目會自動被加入至組織的預設個人容器。預設值為 ou=People,通常使用組織名稱與根字尾組成此值。此欄位可以接受任何組織單元的有效 DN。

認證透過以下方法搜尋使用者設定檔:

  • 在預設個人容器下搜尋,然後
  • 在預設組織下搜尋,然後
  • 使用 [別名搜尋屬性名稱] 屬性搜尋預設組織中的使用者。

最後一種搜尋適用於 SSO 情形,此時用於認證的使用者名稱可能不是設定檔中的命名屬性。例如,使用者可以使用 jn10191 的 Safeword ID 認證,但是設定檔為 uid=jamie

別名搜尋屬性名稱

使用者成功認證後,將擷取其設定檔。如果依據使用者命名屬性 中指定的首選 LDAP 屬性執行的搜尋,無法找到相符的使用者設定檔,則此欄位會指定另一個要從中搜尋的 LDAP 屬性。此屬性將主要在從認證模組傳回的使用者識別不同於 [使用者命名屬性] 中指定的識別時使用。例如,RADIUS 伺服器可能會傳回 abc1234,但是使用者名稱卻為 abc。此屬性沒有預設值。此欄位將接受任何有效的 LDAP 屬性 (例如,cn)。

使用者命名屬性

使用者成功認證後,將擷取其設定檔。此屬性的值指定要用於搜尋的 LDAP 屬性。依預設,Identity Server 將假定使用者項目是由 uid 屬性識別的。如果 Directory Server 使用的是其他屬性 (例如 givenname),請在此欄位中指定屬性名稱。

預設認證語言環境

此欄位指定認證服務要使用的預設語言子類型。預設值為 en_US。在表 19-1 中可找到有效語言子類型的清單。

 

為了使用其他語言環境,必須首先建立此語言環境的所有認證範本。然後必須為這些範本建立新目錄。請參閱「Sun ONE Identity Server Customization and API Guide」中的第 3 章「Authentication Service」,以取得更多資訊。

表 19-1 支援的語言環境 

語言標籤

語言

af

南非荷蘭文

be

白俄羅斯文

bg

保加利亞文

ca

加泰蘭文

cs

捷克文

da

丹麥文

de

德文

el

希臘文

en

英文

es

西班牙文

eu

巴斯克文

fi

芬蘭文

fo

法洛文

fr

法文

ga

愛爾蘭文

gl

加里西亞文

hr

克羅埃西亞文

hu

匈牙利文

id

印尼文

is

冰島文

it

義大利文

ja

日文

ko

韓國文

nl

荷蘭文

no

挪威文

pl

波蘭文

pt

葡萄牙文

ro

羅馬尼亞文

ru

俄文

sk

斯洛伐克文

sl

斯洛維尼亞文

sq

阿爾巴尼亞文

sr

瑟比雅文

sv

瑞典文

tr

土耳其文

uk

烏克蘭文

zh

中文

組織認證配置

此屬性設定組織的認證模組。預設認證模組為 LDAP。可以透過按一下 [編輯] 連結,選取一個或多個認證模組。如果選取了多個模組,則使用者必須通過所有選取模組的鏈接。

當使用者使用 /server_deploy_uri/UL/Login 格式存取認證模組時,將使用在此屬性中配置的模組進行認證。請參閱「Sun ONE Identity Server Customization and API Guide」,以取得更多資訊。

登入失敗鎖定模式

此功能指定使用者在首次認證嘗試失敗後是否可以再次嘗試。選取此屬性會啟用鎖定,使用者僅有一次認證的機會。依預設,鎖定功能是停用的。此屬性同與鎖定相關的屬性以及通知屬性配合使用。

登入失敗鎖定計數

此屬性定義在 [登入失敗鎖定間隔時間 (分鐘)] 所定義的時間間隔內,使用者在鎖定之前可以嘗試進行認證的次數。

登入失敗鎖定間隔時間 (分鐘)

此屬性定義兩次登入嘗試失敗之間的時間 (以分鍾為單位)。如果某次登入失敗,並且在鎖定間隔時間內再次登入失敗,則增加鎖定計數。否則重設鎖定計數。

接收鎖定通知的電子郵件位址

此屬性指定將接收使用者鎖定通知的電子郵件位址。若要將電子郵件通知傳送至多重位址,請使用空格分隔每個電子郵件位址。

N 次失敗後警告使用者

此屬性指定在 Identity Server 傳送使用者將被鎖定的警告訊息之前,可以發生的認證失敗次數。

登入失敗鎖定持續時間 (分鐘)

此屬性啟用記憶體鎖定。依預設,鎖定機制將使 [鎖定屬性名稱] 中定義的 [使用者設定檔] 處於非作用中 (登入失敗後)。如果 [登入失敗鎖定持續時間] 的值大於 0,則其記憶體鎖定和使用者帳戶將被鎖定一段指定的時間 (分鐘)。

鎖定屬性名稱

此屬性指定要被設定為鎖定的所有 LDAP 屬性。還必須變更 [鎖定屬性值] 中的值以啟用此屬性名稱的鎖定。依預設,Identity Server 主控台中的 [鎖定屬性名稱] 為空。當使用者被鎖定且 [登入失敗鎖定持續時間] 設定為 0 時,預設實施值為 inetuserstatus (LDAP 屬性) 和 inactive

鎖定屬性值

此屬性指定啟用還是停用 [鎖定屬性名稱] 中定義之屬性的鎖定。依預設,inetuserstatus 的值設定為 0。

預設成功登入 URL

此欄位指定認證成功後使用者將重新導向至的 URL。此欄位可以接受任何有效的 URL。成功登入 URL 在 remote-auth.dtdLoginStatus 元素中設定。請參閱「Sun ONE Identity Server Customization and API Guide」,以取得更多資訊。

預設失敗登入 URL

此欄位指定認證失敗後使用者將重新導向至的 URL。此欄位可以接受任何有效的 URL。remote-auth.dtdLoginStatus 元素中設定了失敗登入 URL。請參閱「Sun ONE Identity Server Customization and API Guide」,以取得更多資訊。

認證處理後類別

此欄位指定 Java 類別名稱,用於自訂登入成功或失敗的認證後程序。例如:

com.abc.authentication.PostProcessClass

Java 類別必須實施以下 Java 介面:

com.sun.identity.authentication.spi.AMPostAuthProcessInterface

此外,您必須將此類別所在位置的路徑加入到 Web Server 的 [Java 類別路徑] 屬性中。

使用者名稱產生器模式

成員身份認證模組使用此屬性。如果啟用了此屬性欄位,則成員身份模組能夠在自行註冊過程中,產生特定使用者的多個使用者 ID (如果使用者 ID 已經存在)。這些使用者 ID 是從可插接式使用者名稱產生器類別中指定的 Java 類別產生的。

可插接式使用者名稱產生器類別

此欄位指定啟用了 [使用者名稱產生器模式] 時,用來產生使用者 ID 的 Java 類別之名稱。

預設認證層級

認證層級值指示信任認證的程度。使用者進行認證後,此值便會儲存在階段作業的 SSO 記號中。SSO 記號呈現給使用者要存取的應用程式時,該應用程式可以使用儲存的值以確定此層級是否達到了允許使用者存取的層級。如果儲存在 SSO 記號中的認證層級不滿足最小值需求,應用程式可以提示使用者透過具有較高認證層級的服務重新進行認證。

應該在組織的特定認證範本內部設定認證層級。僅當在 [認證層級] 欄位中尚未指定特定組織認證範本的任何認證層級時,此處描述的 [預設認證層級] 值才適用。[預設認證層級] 預設值為 0。(Identity Server 並不使用此屬性中的值,而是由可以選擇使用它的任何外部應用程式使用。)



上一個      目錄      索引      下一個     

Copyright 2003 Sun Microsystems, Inc.。版權所有。