第 1 章產品概觀

Sun ONE Identity Server 技術是用於網路身份的 Sun Open Net Environment (Sun ONE) 平台的一部分。Identity Server 是一組工具，用於充分利用 Sun ONE Directory Server (基於輕型目錄存取協定 [LDAP] 的資料儲存區) 的管理和安全潛能。Identity Server 將 Directory Server 與使用者認證以及單一登入功能整合，籍此增加資料安全性。它還允許管理員根據角色 (一種項目群組機制，在使用者項目中作為屬性出現) 來開始進行使用者項目管理。最後，開發者可以定義和管理眾多預設服務和定製服務的配置參數。可透過可自訂圖形使用者介面 (基於瀏覽器的 Identity Server 主控台) 存取所有這三項功能。

Identity Server 的功能

Identity Server 建立於 Directory Server 安裝之上。其設計概念是為目錄管理員提供一個更一致更直觀的工作介面，並提供擴展 Directory Server 能力的功能。

服務配置

可以使用 Identity Server 服務管理元件指定預設商業服務以及自訂商業服務的配置參數。使用 XML 和 Identity Server 框架中定義的 DTD，服務開發人員可定義公司服務 (如郵件服務、記帳服務或記錄服務) 的參數，並管理服務的參數或 [屬性]。此外，Identity Server 還允許服務管理員定義這些屬性的值。

策略管理

Identity Server 還提供定義、修改或移除控制存取商業資源的規則的方法。這些規則統稱為策略。

SAML

Identity Server 使用安全宣示標記語言 (SAML) 交換安全資訊。SAML 定義可延伸標記語言 (XML) 框架，以在提供此類資訊的不同供應商平台間實現相互可操作性。「Sun ONE Identity Server Customization and API Guide」中描述了 SAML 框架。

聯合管理

Identity Server 整合了聯合管理模組，以便利用自由聯盟專案開發的聯合網路身份開放式標準。

認證

Identity Server 為使用者認證提供了外掛程式解決方案。認證特定使用者所需的條件是根據為 Identity Server 企業中的每個組織配置的認證服務而定。使用者必須成功通過認證，才能存取 Identity Server 階段作業。

單一登入

一旦使用者通過認證，Identity Server 中用於單一登入 (SSO) 的 API 便會接管作業。每當認證的使用者嘗試存取受保護頁面時，SSO API 會依據使用者的認證憑證來確定該使用者是否擁有所需的權限。如果使用者有效，無需附加認證即可獲得對頁面的存取權。如果無效，系統將提示使用者再次認證。

策略代理程式

策略代理程式安裝在 Web 容器 (Sun ONE Web Server 或 Sun ONE Application Server) 中。它是 Identity Server 策略元件的特定實例。當使用者發出對受保護的網路伺服器上的網路資源的請求時，該代理程式會用作附加認證步驟。除了執行任何使用者認證檢查之外，資源還必須執行該認證。此代理程式保護網路伺服器，認證外掛程式則保護資源。

身份管理

身份管理元件允許建立和管理與身份有關的物件。使用 Identity Server 主控台或指令行介面可定義、修改或刪除使用者物件、角色物件、群組物件、策略物件、組織物件、子組織物件和容器物件。主控台具有預設管理員，他們擁有不同等級的權限，可用來建立和管理組織、群組、容器、使用者、服務和策略。(可基於角色建立其他管理員。)管理員是在 Directory Server 與 Identity Server 一同安裝時，在 Directory Server 內部定義的。這些管理員是：

頂層管理員，具有對 Identity Server 企業中所有項目的讀取存取權和寫入存取權。

頂層說明桌面管理員，具有對 Identity Server 企業內部所有項目的讀取存取權和對使用者密碼屬性的寫入存取權。

組織管理員，具有對其組織內所有項目的讀取存取權和寫入存取權。

組織說明桌面管理員，具有對其組織內所有項目的讀取存取權。

容器管理員，具有對所有群組管理員 (具有對其群組所有成員的讀取存取權和寫入存取權) 的讀取存取權和寫入存取權。

Identity Server 主控台

Identity Server 主控台分為三部分：位置框架、導覽框架和資料框架。使用這三個框架，管理員可以導覽目錄、執行使用者配置和服務配置以及建立策略。

標頭框架

標頭框架位於主控台頂端。標頭框架中的標籤可讓管理員在不同的管理模組檢視之間切換：

身份管理模組 - 可讓管理員建立和管理與身份有關的物件。

服務配置模組 - 可讓管理員配置 Identity Server 的預設服務。

目前階段作業模組 - 可讓管理員檢視目前階段作業資訊以及終止任一階段作業。

聯合管理模組 - 可使用自由聯盟專案開發的聯合網路身份開放式標準。

[位置] 欄位提供管理員在目錄樹中位置的路徑。該路徑作為導覽之用。

[歡迎] 欄位顯示正執行主控台之使用者的名稱，並具有至該使用者設定檔的連結。

[搜尋] 連結顯示一個可讓使用者搜尋特定 Identity Server 物件類別之項目的介面。請使用下拉式功能表選取物件類型並輸入搜尋字串。搜尋表格中會傳回結果。允許使用萬用字元。

[說明] 連結會開啟一個瀏覽器視窗，其中包含有關身份管理、目前階段作業、聯合管理和本說明文件的第 3 部分 (「屬性參考指南」) 資訊。

導覽框架

導覽框架位於 Identity Server 主控台的左側部分。目錄物件部分 (在灰色方塊內) 顯示目前開啟的目錄物件之名稱及其 [屬性] 連結。(導覽框架中顯示的大多數物件均有相應的[屬性] 連結。選取此連結將會在右側的資料框架中描繪項目的屬性。)[檢視] 功能表列出所選目錄物件下的目錄。根據子目錄數，系統會提供分頁機制。

資料框架

資料框架位於主控台的右側部分。此處可顯示並配置所有物件屬性及其值，並可為它們各自的群組、角色或組織選取項目。



提示	您可以按一下 [全部選取] 或 [全部取消選取] 圖示來選取所有項目或取消選取所有項目。