Sun logo      上一個      目錄      索引      下一個     

Sun ONE Identity Server 6.1 管理指南

第 5 章
聯合管理

本章描述 Sun™ ONE Identity Server 的 [聯合管理] 介面功能。[聯合管理] 介面提供了一種檢視、管理和配置有關認證網域和供應程式之複合資料的方法。

不再支援自由聯盟專案規格 1.0 中概述的功能。由於實際上沒有 1.0 部署,因此這不會造成嚴重影響。

本章包含以下小節:

認證網域和供應程式概觀

聯合管理模組提供一個介面,用於建立、修改和刪除認證網域、遠端供應程式以及託管供應程式。以下步驟說明基本的聯合管理模型:

  1. 建立認證網域。
  2. 建立一個或多個屬於已建立的認證網域的託管供應程式。
  3. 建立一個或多個屬於已建立的認證網域的遠端供應程式。還必須包括遠端供應程式的複合資料。
  4. 建立供應程式之間的信任關係。託管供應程式可選擇信任屬於同一認證網域的託管或遠端供應程式子集。

以下各節說明如何建立和配置認證網域、遠端供應程式以及託管供應程式。

認證網域

本節描述如何建立、修改和刪除認證網域。

建立認證網域

  1. 從聯合管理模組的 [檢視] 功能表中,選擇 [認證網域]。
  2. 在導覽框架中按一下 [新建]。

    3. [建立認證網域] 會顯示在資料框架中。

  3. 在 [建立認證網域] 視窗中輸入認證網域的名稱。
  4. 輸入用於描述認證網域的值。
  5. 輸入寫入器服務 URL 的值。

    6. 寫入器服務 URL 指定在共用網域中寫入 Cookie 的寫入器服務位置。例如,如果 example.com 是共用網域,則 URL 可能為:

    http://example.com:8080/liberty/WriterServlet

  6. 輸入讀取器服務 URL 的值。

    7. 讀取器服務 URL 指定從共用網域讀取 Cookie 的服務位置。

  7. 選擇 [作用中] 或 [非作用中] 狀態。

    8. 預設值為 [作用中]。在認證網域存在期間,可以透過選取 [屬性] 圖示隨時變更該狀態。選擇 [非作用中] 會停用認證網域中與目前安裝的 Identity Server 有關的「自由」通訊。

  8. 按一下 [建立]。

    9. 新建的認證網域會顯示在導覽框架中。

修改認證網域

  1. 按一下要修改的認證網域旁邊的 [屬性] 箭頭。

    2. 該認證網域的屬性會顯示在資料框架中。

  2. 修改該認證網域的屬性。
  3. 按一下 [儲存]。

刪除認證網域

刪除認證網域不會刪除屬於此網域的供應程式。如果供應程式屬於已刪除的認證網域,則它們仍為此認證網域的一部分,直至明確將它們移除。無法在已刪除的認證網域中加入其他供應程式。

  1. 從聯合管理模組的 [檢視] 功能表,選擇 [認證網域]。

    2. 所有建立的認證網域會顯示在導覽框架中。

  2. 核取要刪除的認證網域名稱旁邊之方塊。
  3. 按一下 [刪除選取的項目]。

    執行刪除時不會顯示警告訊息。

供應程式

本節描述如何建立、修改和刪除遠端與託管供應程式。

建立遠端供應程式

遠端供應程式是接收主體 (與系統進行交互作用的組織或個人) 發出之複合資料的實體。若要建立遠端供應程式,請:

  1. 從聯合管理模組的 [檢視] 功能表,選擇 [遠端供應程式]。

    2. 依預設,建立的供應程式為服務供應程式。您可以透過選取步驟 15 中描述的選項,選擇性地決定建立遠端供應程式作為身份供應程式。

  2. 按一下 [新建]。螢幕上會顯示 [建立遠端供應程式] 視窗。
  3. 輸入供應程式 ID 的值。

    4. 供應程式 ID 應該指定供應程式的 URL 識別碼。在所有遠端供應程式與託管供應程式中,它必須是唯一的。

  4. 輸入對遠端供應程式的描述。
  5. 輸入安全鍵。

    6. 安全鍵定義安全證書的別名。證書依據別名儲存在 JKS 鍵值儲存區中。此別名 (安全鍵) 用於擷取所需的證書。

  6. 輸入 SOAP 端點 URL。

    7. 此欄位指定 SOAP 請求的接收者位置。用於透過 SOAP 在反向通道上通訊 (非瀏覽器通訊)。

  7. 輸入單一登出服務 URL。

    8. 服務供應程式或身份供應程式使用單一登出服務 URL 傳送與接收登出請求。

  8. 輸入單一登出傳回 URL。

    9. 此欄位指定登出請求經過處理後重新導向至的 URL。

  9. 輸入聯合終止服務 URL。

    10. 此欄位指定將聯合終止請求傳送至的 URL。

  10. 輸入聯合終止傳回 URL 的值。

    11. 此欄位指定聯合終止請求經過處理後重新導向至的 URL。

  11. 定義單一登入服務 URL。

    12. 此欄位定義在聯合與 SSO 期間,服務供應程式將請求傳送至的身份供應程式 URL。僅在啟用了 [作為身份供應程式] 選項時才需要定義此欄位。

  12. 輸入名稱註冊服務 URL。

    13. 此欄位使用的名稱註冊協定是服務供應程式與身份供應程式進行通訊時註冊其名稱識別碼所使用的協定。註冊僅在聯合階段作業建立後才會進行。此欄位定義服務供應程式用來向身份供應程式註冊名稱識別碼的服務 URL。

  13. 輸入名稱註冊傳回 URL。

    14. 此欄位使用的名稱註冊協定是服務供應程式與身份供應程式進行通訊時註冊其名稱識別碼所使用的協定。註冊僅在聯合階段作業建立後才會進行。名稱註冊傳回 URL 是身份供應程式向其傳回註冊狀態的 URL。

  14. 輸入假設使用者 URL。

    15. 此欄位定義身份供應程式將向其傳送 SAML 假設的服務供應程式端點。

  15. 決定是否將遠端供應程式定義為身份供應程式。依預設,所有供應程式均為服務供應程式。如果選取了 [作為身份供應程式] 選項,它將另外定義遠端供應程式作為身份供應程式。
  16. 按一下 [建立]。

    17. 新建的供應程式會顯示在導覽框架中。

修改遠端供應程式

遠端主機建立後,您可以隨時修改它。若要如此,請:

  1. 從導覽框架的 [檢視] 功能表中選取 [遠端供應程式]。
  2. 選擇您要修改的供應程式設定檔,然後按一下 [編輯] 箭頭。

    3. 依預設,在導覽框架中顯示 [一般] 檢視。顯示在 [一般] 檢視中的大多數欄位均包含建立遠端供應程式時所輸入的資料。可以修改以下附加欄位:

    供應程式簡明 ID。此欄位唯一地識別身份供應程式的服務供應程式。

    簡明 ID 應該是 SHAI 編碼字串。供應程式 ID 字串應該作為要編碼的值,因為這可以確保該字串的唯一性。若要產生 SHAI 編碼,請使用 OpenSSL 指令行工具語法:

    $ echo providerID | openssl sha1

    如果修改任一欄位,請按一下 [儲存] 以儲存變更。

    狀態。「作用中」狀態使遠端供應程式能夠參加聯合與 SSO。「非作用中」狀態會使遠端供應程式不可使用,並且不會回應任何請求。

  3. 若要修改 [服務供應程式] 欄位,請從 [檢視] 功能表選擇 [服務供應程式]。

    4. [假設使用者 URL] 欄位包含建立遠端供應程式時所輸入的資料。但是,還有其他欄位可以修改:

    聯合後的名稱註冊。如果啟用了此選項,則服務供應程式可以在聯合後參加名稱註冊。名稱註冊是一種設定檔,服務供應程式透過它指定主體的名稱識別碼,身份供應程式將使用該名稱識別碼與服務供應程式進行通訊。

    是否為帶簽名的認證請求。如果啟用,此選項將指定遠端供應程式傳送帶簽名的認證與聯合請求。身份供應程式將不會處理服務供應程式發出的無簽名請求。

    假設使用者 URL。此欄位定義身份供應程式將向其傳送 SAML 假設的供應程式端點。

    聯合終止設定檔。 您可以選擇 SOAP 或 HTTP/重新導向。此欄位指定是使用 SOAP 還是 HTTP/重新導向設定檔來通知聯合終止。在供應程式作用期間可以隨時變更該欄位。

    單一登出設定檔。您可以選擇 SOAP 或 HTTP/重新導向。此欄位指定是使用 SOAP 還是 HTTP/重新導向來通知登出事件。在供應程式作用期間可以隨時變更該欄位。

    名稱註冊設定檔。您可以選擇 SOAP 或 HTTP/重新導向。此欄位指定是將 SOAP 還是將 HTTP/重新導向設定檔用於名稱註冊。在供應程式作用期間可以隨時變更該欄位。

  4. 按一下 [儲存]。
  5. 如果遠端供應程式在建立時定義為身份供應程式,則可以透過選取 [檢視] 功能表中的 [身份供應程式] 修改以下欄位:

    6. [作為身份供應程式]。此欄位指定是否將遠端供應程式定義為身份供應程式。依預設,所有供應程式均為服務供應程式。如果選取了 [作為身份供應程式] 選項,它將另外定義遠端供應程式作為身份供應程式。

    SSO 期間的名稱註冊。如果啟用了此選項,它可讓身份供應程式在 SSO 期間參加名稱註冊。名稱註冊是一種設定檔,服務供應程式透過它指定主體的名稱識別碼,身份供應程式將使用該名稱識別碼與服務供應程式進行通訊。

    單一登入服務 URL。此欄位定義在聯合與 SSO 期間,服務供應程式將請求傳送至的身份供應程式 URL。僅在啟用了 [作為身份供應程式] 選項時才需要定義此欄位。

  6. 選取 [檢視] 功能表中的 [認證網域],可以編輯遠端供應程式所屬的認證網域。

    7. 使用方向鍵將選取的認證網域移到 [可用] 清單中。按一下 [儲存]。這樣會將此供應程式指定給認證網域。供應程式可以屬於一個或多個認證網域,但是,沒有指定任何認證網域的供應程式無法參加「自由」通訊。按一下 [儲存]。

建立託管供應程式

託管供應程式是建立、維護和管理主體身份資訊、在認證網域內為其他服務供應程式提供主體認證的實體。若要建立託管供應程式,請:

  1. 從聯合管理模組的 [檢視] 功能表,選擇 [託管供應程式]。

    2. 依預設,建立的供應程式為服務供應程式。您可以透過選取步驟 6 中描述的選項,選擇性地決定建立遠端供應程式作為身份供應程式。

  2. 按一下 [新建]。螢幕上會顯示 [建立託管供應程式] 視窗。
  3. 輸入此供應程式 ID 的值。

    4. 供應程式 ID 指定供應程式的 URL 識別碼。在所有遠端供應程式與託管供應程式中,它必須是唯一的。

  4. 輸入對託管供應程式的描述。
  5. 輸入供應程式的別名。

    6. 對於每個託管供應程式,此欄位提供的別名會加入至名為 metaAlias 的字串。然後,此字串將加入至為託管供應程式自動植入的 URL。這些 URL 稱為複合資料 URL。在以下範例中,sunAlias 是此供應程式的別名:

    聯合終止服務 URL

    http://www.example.com:58080/amserver/ProcessTermination/metaAlias/sunAlias

    SOAP 端點 URL

    http://www.example.com:58080/amserver/SOAPReceiver/metaAlias/sunAlias

  6. 決定是否要將遠端供應程式定義為身份供應程式。依預設,所有供應程式均為服務供應程式。如果選取了 [作為身份供應程式] 選項,它將另外定義遠端供應程式作為身份供應程式。
  7. 輸入安全鍵。

    8. 安全鍵定義安全證書的別名。證書依據別名儲存在 JKS 鍵值儲存區中。此別名 (安全鍵) 用於擷取所需的證書。

  8. 輸入供應程式 URL。

    9. 此欄位指定將傳送複合資料的 URL。

  9. 決定是否將託管供應程式定義為身份供應程式。依預設,所有供應程式均為服務供應程式。如果選取了 [作為身份供應程式] 選項,則託管供應程式將被另外定義為身份供應程式。
  10. 按一下 [建立]。

    11. 新建的供應程式會顯示在導覽框架中。

修改託管供應程式

  1. 選擇您要修改的供應程式設定檔,然後按一下 [編輯] 箭頭。

    2. 依預設,在導覽框架中顯示 [一般] 檢視。顯示在 [一般] 檢視中的大多數欄位均包含建立託管供應程式時輸入的資料。可以修改以下附加欄位:

    SOAP 端點 URL。此欄位指定 SOAP 請求的接收者位置。用於透過 SOAP 在反向通道上通訊 (非瀏覽器通訊)。

    單一登出服務 URL。服務供應程式或身份供應程式使用單一登出服務 URL 傳送與接收登出請求。

    單一登出傳回 URL。此欄位指定登出請求經過處理後重新導向至的 URL。

    聯合終止服務 URL。此欄位指定將聯合終止請求傳送至的 URL。

    聯合終止傳回 URL。此欄位指定聯合終止請求經過處理後重新導向至的 URL。

    名稱註冊服務 URL。此欄位使用的名稱註冊協定是服務供應程式與身份供應程式進行通訊時註冊其名稱識別碼所使用的協定。註冊僅在聯合階段作業建立後才會進行。此欄位定義服務供應程式用來向身份供應程式註冊名稱識別碼的服務 URL。

    名稱註冊傳回 URL。此欄位使用的名稱註冊協定是服務供應程式與身份供應程式進行通訊時註冊其名稱識別碼所使用的協定。註冊僅在聯合階段作業建立後才會進行。名稱註冊傳回 URL 是身份供應程式向其傳回註冊狀態的 URL。

    如果修改任何欄位,請按一下 [儲存]。

  2. 若要修改 [服務供應程式] 欄位,請從 [檢視] 功能表選擇 [服務供應程式]。

    3. [假設使用者 URL] 欄位包含建立遠端供應程式時輸入的資料。您可以修改以下附加欄位:

    聯合後的名稱註冊。如果啟用了此選項,則服務供應程式可以在聯合後參加名稱註冊。名稱註冊是一種設定檔,服務供應程式透過它指定主體的名稱識別碼,身份供應程式與服務供應程式通訊時將使用該名稱識別碼。

    是否為帶簽名的認證請求。如果啟用,此選項會指定託管供應程式傳送帶簽名的認證與聯合請求。身份供應程式將不會處理服務供應程式發出的無簽名請求。

    聯合終止設定檔。 您可以選擇 SOAP 或 HTTP/重新導向。此欄位指定是使用 SOAP 還是 HTTP/重新導向設定檔來通知聯合終止。在供應程式作用期間可以隨時變更該欄位。

    單一登出設定檔。您可以選擇 SOAP 或 HTTP/重新導向。此欄位指定是使用 SOAP 還是 HTTP/重新導向來通知登出事件。在供應程式作用期間可以隨時變更該欄位。

    名稱註冊設定檔。您可以選擇 SOAP 或 HTTP/重新導向。此欄位指定是將 SOAP 還是將 HTTP/重新導向設定檔用於名稱註冊。在供應程式作用期間可以隨時變更該欄位。

    認證環境。此欄位允許您指定要使用的認證環境之認證層級。

    如果修改了任何欄位,請按一下 [儲存]。

  3. 如果託管供應程式在建立時定義為身份供應程式,則可以透過選取 [檢視] 功能表中的 [身份供應程式] 修改這些欄位。這些欄位中包含的大多數資料是在託管供應程式建立時輸入的。您可以修改以下欄位:

    4. 作為身份供應程式。此欄位指定是否將遠端供應程式定義為身份供應程式。依預設,所有供應程式均為服務供應程式。如果選取了 [作為身份供應程式] 選項,它將另外定義遠端供應程式作為身份供應程式。

    SSO 期間的名稱註冊。如果啟用了此選項,它可讓身份供應程式在 SSO 期間參加名稱註冊。名稱註冊是一種設定檔,服務供應程式透過它指定主體的名稱識別碼,身份供應程式與服務供應程式通訊時將使用該名稱識別碼。

    單一登入服務 URL。此欄位定義在聯合與 SSO 期間,服務供應程式將請求傳送至的身份供應程式 URL。僅在啟用了 [作為身份供應程式] 選項時才需要定義此欄位。

    支援。指定身份供應程式是否支援認證環境。身份供應程式至少應支援一種認證環境。

    環境參考。定義認證環境的名稱。在「自由」協定中定義了 10 種環境。

    鍵值。傳送至 /UI/Login (Identity Server 認證 servlet) 的查詢字串中將包含一個鍵值-值對,用於識別要使用的認證機制。可能的鍵值包括:

    • 模組
    • 層級
    • 角色
    • 服務
    • 使用者

      • 值。定義認證機制鍵值對的值。

      優先級。指出自由定義的認證環境的次序,由身份供應程式決定。如果身份供應程式不支援服務供應程式在認證請求期間請求的認證環境,它可以使用具有相同或更高優先級的任何其他認證環境。

      按一下 [儲存] 以儲存變更。

  4. 選取 [檢視] 功能表中的 [認證網域],可以編輯遠端供應程式所屬的認證網域。

    5. 使用方向鍵將選取的認證網域移到 [可用] 清單中。按一下 [儲存]。這樣會將此供應程式指定給認證網域。供應程式可以屬於一個或多個認證網域,但是,沒有指定任何認證網域的供應程式無法參加「自由」通訊。

  5. 從 [檢視] 功能表選擇 [可信任的供應程式]。

    6. 遠端供應程式將僅接受自這一組供應程式發出的請求。其他供應程式發出的請求將會忽略。若要建立可信任供應程式的清單,請從 [可用] 欄位選取供應程式,然後使用 [加入] 按鈕將其加入至 [已選取] 欄位。(您可以使用 [移除] 按鈕移除供應程式。)按一下 [儲存]。

  6. 選擇 Identity Server 配置屬性。

    7. 欄位如下所示:

    認證類型。遠端/本機 - 指定託管供應程式在收到認證請求時是應該聯絡身份供應程式 (遠端) 還是由託管供應程式本身 (本機) 進行認證。

    單一登入/聯合設定檔。指定託管供應程式用來傳送認證請求的設定檔。Identity Server 提供以下協定:

    • 瀏覽器 POST - 指定基於 http POST 的正向通道協定。
    • 瀏覽器 Artifact - 基於反向通道 (非瀏覽器) SOAP 的協定。

      • 預設認證環境。指定身份供應程式未將此認證環境接收為服務供應程式請求的一部分時,要使用的認證環境。還指定在未知使用者嘗試存取受保護資源時,服務供應程式使用的認證環境。預設值包括:

    • Previous-Session
    • Time-Sync-Token
    • Smartcard
    • MobileUnregistered
    • Smartcard-PKI
    • MobileContract
    • Password
    • Password-ProtectedTransport
    • MobileDigitalID
    • Software-PKI

      • 強制認證身份供應程式。指示在收到授權請求時,身份供應程式是否必須重新認證 (即使在階段作業作用期間)。

      請求身份供應程式為被動。如果選取此欄位,將指定身份供應程式不得與主體進行互動,而必須與使用者進行互動。

      組織 DN。如果各個託管供應程式選擇在不同組織之間管理使用者 (產生託管模式),該欄位用於指定組織 DN 的儲存位置。

      自由版本 URI。指定自由規格版本。

      名稱識別碼實現。允許服務供應程式選擇是否參加名稱註冊。名稱註冊是一種設定檔,服務供應程式透過它指定主體的名稱識別碼,身份供應程式與服務供應程式通訊時將使用該名稱識別碼。

      供應程式首頁 URL。指定供應程式的首頁。

      單一登入失敗重新導向 URL。為失敗的 SSO 指定重新導向 URL。

      假設間隔時間。指定身份供應程式發送假設的有效間隔時間。身份供應程式將繼續認證主體,直至假設間隔時間到期。

      清除間隔時間。指定清除儲存在身份供應程式中的假設之時間間隔。

      Artifact 逾時。指定身份供應程式發送假設 Artifact 的逾時時間。

      假設限制。指定可以儲存或身份供應程式可以發送的假設數。

  7. 按一下 [儲存]。

刪除供應程式

  1. 從聯合管理的 [檢視] 功能表,選擇 [供應程式]。

    2. 導覽框架中會顯示已建立的所有供應程式。

  2. 核取要刪除的供應程式方塊。
  3. 按一下 [刪除選取的項目]。

    執行刪除時不會顯示警告訊息。



上一個      目錄      索引      下一個     

Copyright 2003 Sun Microsystems, Inc.。版權所有。