Sun ONE Identity Server 6.1 管理指南 |
第 5 章
联合管理本章介绍 Sun ONE Identity Server 的联合管理界面功能。“联合管理”界面提供了查看、管理和配置有关验证域和提供商的元数据的方法。
不再支持 LIberty Alliance Project 规范 1.0 中介绍的功能。因为实际上没有 1.0 部署,所以不会造成严重影响。
本章包含以下内容:
验证域和提供商概述“联合管理”模块提供了用于创建、修改和删除验证域、远程提供商和代管提供商的界面。以下步骤示范了一个基本的联合管理模型:
以下各节分别说明了如何创建和配置验证域、远程提供商和代管提供商。
验证域本节说明如何创建、修改和删除验证域。
创建验证域
- 从“联合管理”模块的“查看”菜单中选择“验证域”。
- 单击浏览框中的“新建”。
数据框中将显示“创建验证域”。
- 在“创建验证域”窗口中输入验证域的名称。
- 输入用于说明验证域的值。
- 输入记录器服务 URL 的值。
记录器服务 URL 用于指定在“通用域”写入 Cookie 的记录器服务的位置。例如,如果 example.com 为通用域,则 URL 可能为:
http://example.com:8080/liberty/WriterServlet
- 输入读取程序服务 URL 的值。
读取程序服务 URL 用于指定从“通用域”读取 Cookie 的读取程序服务的位置。
- 选择“有效”或“无效”状态。
缺省值为“有效”。在验证域生效期间,通过选择属性图标可以随时更改该状态。选择“无效”将禁用验证域中与当前安装的 Identity Server 有关的“特权”通信。
- 单击“创建”。
浏览框中将显示新创建的验证域。
修改验证域
删除验证域
删除验证域时不会删除属于该验证域的提供商。如果提供商属于已删除的验证域,则在这些提供商被明确删除以前,他们仍是验证域的一部分。您无法在已删除的验证域中添加其他提供商。
提供商本节说明如何创建、修改和删除远程提供商及代管提供商。
创建远程提供商
远程提供商是接收负责人(指与系统进行交互的组织或个人)发出的元数据的实体。要创建远程提供商,请执行以下步骤:
- 从“联合管理”模块的“查看”菜单中选择“远程提供商”。
缺省情况下,创建的提供商为服务提供商。您也可以通过选择步骤 15 中所述的选项将远程提供商创建为身份提供商。
- 单击“新建”。屏幕上将显示“创建远程提供商”窗口。
- 输入“提供商 ID”的值。
“提供商 ID”应指定提供商的 URL 标识符。“提供商 ID”的值在所有远程和代管提供商范围内必须是唯一的。
- 输入远程提供商的说明。
- 输入“安全密钥”。
“安全密钥”定义了安全证书的别名。证书以别名保存在 JKS 密钥库中。这个别名(即安全密钥)用于获取所需的证书。
- 输入“SOAP 终点 URL”。
该字段指定 SOAP 请求接收方的位置。它用于通过 SOAP 在反向信道上通信(非浏览器通信)。
- 输入“单一注销服务 URL”。
服务提供商或身份提供商使用“单一注销服务 URL”来发送和接收注销请求。
- 输入“单一注销返回 URL”。
该字段指定注销请求在被处理后重定向的 URL。
- 输入“联合终止服务 URL”。
该字段指定接收联合终止请求的 URL。
- 输入“联合终止返回 URL”的值。
该字段指定联合终止请求在被处理后重定向的 URL。
- 定义“单一登录服务 URL”。
该字段定义服务提供商在联合和 SSO 期间将请求发送到的身份提供商 URL。只有在启用“作为身份提供商”选项时才有必要定义该字段。
- 输入名称注册服务 URL。
该字段使用的名称注册协议是服务提供商与身份提供商通信时注册其名称标识符所用的协议。注册只在建立联合会话后进行。该字段用于定义服务提供商向身份提供商注册名称标识符时使用的服务 URL。
- 输入名称注册返回 URL。
该字段使用的名称注册协议是服务提供商与身份提供商通信时注册其名称标识符所用的协议。注册只在建立联合会话后进行。名称注册返回 URL 是身份提供商向其发送注册状态的 URL。
- 输入“断言用户 URL”。
该字段定义身份提供商将 SAML 断言发送到的服务提供商终点。
- 确定是否将远程提供商定义为身份提供商。缺省情况下,所有提供商都是服务提供商。如果选择“作为身份提供商”选项,远程提供商将被另外定义为身份提供商。
- 单击“创建”。
浏览框中将显示新创建的提供商。
修改远程提供商
一旦创建远程主机,您便可随时对其进行修改。为此,请执行以下步骤:
- 从“查看”菜单的浏览框中选择“远程提供商”。
- 选择您要修改的提供商配置文件,然后单击“编辑”箭头。
缺省情况下,浏览框中显示“常规”视图。“常规”视图中显示的大部分字段包含创建远程提供商期间输入的数据。可以修改以下其它字段:
提供商 Succinct ID。该字段是区别服务提供商与身份提供商的唯一标志。
Succinct ID 应为 SHA1 编码字符串。为了保证唯一性,提供商 ID 字符串应当用作编码的值。要生成 SHA1 编码,请使用 OpenSSL 命令行工具语法:
$ echo providerID | openssl sha1
如果修改任何字段,请单击“保存”保存修改。
状态。“有效”状态使远程提供商可以参与联合和 SSO。“无效”状态则使远程提供商不可用,且不会对任何请求作出响应。
- 要修改“服务提供商”字段,请从“查看”菜单中选择“服务提供商”。
“断言用户 URL”字段包含您在创建远程提供商期间输入的数据。但是,您还可以修改其它字段:
联合后的名称注册。如果启用该选项,服务提供商则可以在联合之后参与名称注册。名称注册是一个配置文件,服务提供商依据该文件来指定负责人的名称标识符,身份提供商将使用该名称标识与服务提供商通信。
作为已签署验证请求。如果启用该选项,则指定远程提供商发送已签署的验证和联合请求。身份提供商将不会处理服务提供商发出的未签署请求。
断言用户 URL。该字段定义身份提供商将 SAML 断言发送到的提供商终点。
联合终止配置文件 。您可以选择“SOAP”或“HTTP/重定向”。该字段指定 SOAP 或 HTTP/重定向配置文件是否用于通知联合终止信息。在提供商生效期间可以随时更改该字段。
单一注销配置文件。您可以选择“SOAP”或“HTTP 重定向”。该字段指定 SOAP 或重定向 HTTP 是否用于通知注销事件。在提供商生效期间可以随时更改该字段。
名称注册配置文件。您可以选择“SOAP”或“HTTP/重定向”。该字段指定 SOAP 或 HTTP/重定向配置文件是否用于名称注册。在提供商生效期间可以随时更改该字段。
- 单击“保存”。
- 如果远程提供商在创建期间被定义为身份提供商,则您可以通过选择“查看”菜单中的“身份提供商”来修改以下字段:
作为身份提供商。该字段指定远程提供商是否将被定义为身份提供商。缺省情况下,所有提供商都是服务提供商。如果选择“作为身份提供商”选项,远程提供商将被另外定义为身份提供商。
SSO 过程中的名称注册。如果启用该选项,则在 SSO 过程中,身份提供商可以参与名称注册。名称注册是一个配置文件,服务提供商依据该文件来指定负责人的名称标识符,身份提供商将使用该名称标识与服务提供商通信。
单一登录服务 URL。该字段定义服务提供商在联合和 SSO 期间将请求发送到的身份提供商 URL。只有在启用“作为身份提供商”选项时才有必要定义该字段。
- 选择“查看”菜单中的“验证域”,编辑远程提供商所属的验证域。
使用方向箭头将选定的验证域移到“可用”列表中。单击“保存”。这样就将提供商指定给该验证域。一个提供商可以属于一个或多个验证域,但是没有指定验证域的提供商不能参与“特权”通信。单击“保存”。
创建代管提供商
代管提供商是指一个实体,它可以创建、维护和管理负责人的身份信息,并向验证域中的其他服务提供商提供负责人验证。要创建代管提供商,请执行以下步骤:
- 从“联合管理”模块的“查看”菜单中选择“代管提供商”。
缺省情况下,创建的提供商为服务提供商。您也可以通过选择步骤 6 中所述的选项将远程提供商创建为身份提供商。
- 单击“新建”。屏幕上将显示“创建代管提供商”窗口。
- 输入“提供商 ID”的值。
“提供商 ID”指定提供商的 URL 标识符。“提供商 ID”的值在所有远程和代管提供商范围内必须是唯一的。
- 输入代管提供商的说明。
- 输入提供商的别名。
对于每个代管提供商,该字段中提供的别名将被添加到一个名为 metaAlias 的字符串中。然后该字符串被添加到代管提供商的自动填充 URL 中。这些 URL 称为“元数据 URL”。在以下示例中,sunAlias 是提供商的别名:
联合终止服务 URL
http://www.example.com:58080/amserver/ProcessTermination/metaAlias/sunAlias
SOAP 终点 URL
http://www.example.com:58080/amserver/SOAPReceiver/metaAlias/sunAlias
- 确定是否将远程提供商定义为身份提供商。缺省情况下,所有提供商都是服务提供商。如果选择“作为身份提供商”选项,远程提供商将被另外定义为身份提供商。
- 输入“安全密钥”。
“安全密钥”定义了安全证书的别名。证书以别名保存在 JKS 密钥库中。这个别名(即安全密钥)用于获取所需的证书。
- 输入“提供商 URL”。
该字段指定发送元数据的 URL。
- 确定是否将代管提供商定义为身份提供商。缺省情况下,所有提供商都是服务提供商。如果选择“作为身份提供商”选项,代管提供商将被另外定义为身份提供商。
- 单击“创建”。
浏览框中将显示新创建的提供商。
修改代管提供商
- 选择您要修改的提供商配置文件,然后单击“编辑”箭头。
缺省情况下,浏览框中显示“常规”视图。“常规”视图中显示的大部分字段包含创建代管提供商期间输入的数据。可以修改以下其它字段:
SOAP 终点 URL。该字段指定 SOAP 请求接收方的位置。它用于通过 SOAP 在反向信道上通信(非浏览器通信)。
单一注销服务 URL。服务提供商或身份提供商使用“单一注销服务 URL”来发送和接收注销请求。
单一注销返回 URL。该字段指定注销请求在被处理后重定向的 URL。
联合终止服务 URL。该字段指定接收联合终止请求的 URL。
联合终止返回 URL。该字段指定联合终止请求在被处理后重定向的 URL。
名称注册服务 URL。该字段使用的名称注册协议是服务提供商与身份提供商通信时注册其名称标识符所用的协议。注册只在建立联合会话后进行。该字段用于定义服务提供商向身份提供商注册名称标识符时使用的服务 URL。
名称注册返回 URL。该字段使用的名称注册协议是服务提供商与身份提供商通信时注册其名称标识符所用的协议。注册只在建立联合会话后进行。名称注册返回 URL 是身份提供商向其发送注册状态的 URL。
如果您修改了任何一个字段,请单击“保存”。
- 要修改“服务提供商”字段,请从“查看”菜单中选择“服务提供商”。
“断言用户 URL”字段包含您在创建远程提供商期间输入的数据。您可以修改以下其它字段:
联合后的名称注册。如果启用该选项,服务提供商则可以在联合之后参与名称注册。名称注册是一个配置文件,服务提供商依据该文件来指定负责人的名称标识符,身份提供商将使用该名称标识与服务提供商通信。
作为已签署验证请求。如果启用该选项,则指定代管提供商发送已签署的验证和联合请求。身份提供商将不会处理服务提供商发出的未签署请求。
联合终止配置文件 。您可以选择“SOAP”或“HTTP/重定向”。该字段指定 SOAP 或 HTTP/重定向配置文件是否用于通知联合终止信息。在提供商生效期间可以随时更改该字段。
单一注销配置文件。您可以选择“SOAP”或“HTTP 重定向”。该字段指定 SOAP 或重定向 HTTP 是否用于通知注销事件。在提供商生效期间可以随时更改该字段。
名称注册配置文件。您可以选择“SOAP”或“HTTP/重定向”。该字段指定 SOAP 或 HTTP/重定向配置文件是否用于名称注册。在提供商生效期间可以随时更改该字段。
验证环境。该字段允许您为要使用的验证环境指定验证级别。
如果您修改了任何一个字段,请单击“保存”。
- 如果在创建期间被定义为身份提供商,则您可以通过选择“查看”菜单中的“身份提供商”来修改这些字段。这些字段中的数据是在创建提供商时输入的数据。您可以修改以下字段:
代管提供商 作为身份提供商。该字段指定远程提供商是否将被定义为身份提供商。缺省情况下,所有提供商都是服务提供商。如果选择“作为身份提供商”选项,远程提供商将被另外定义为身份提供商。
SSO 过程中的名称注册。如果启用该选项,则在 SSO 过程中,身份提供商可以参与名称注册。名称注册是一个配置文件,服务提供商依据该文件来指定负责人的名称标识符,身份提供商将使用该名称标识与服务提供商通信。
单一登录服务 URL。该字段定义服务提供商在联合和 SSO 期间将请求发送到的身份提供商 URL。只有在启用“作为身份提供商”选项时才有必要定义该字段。
支持。指定身份提供商是否支持验证环境。身份提供商应至少支持一种验证环境。
环境参考。定义验证环境的名称。“特权”协议中定义了十种环境。
关键字。发送给 /UI/Login(Identity Server 验证 servlet)的查询字符串中将包含“关键字 - 值”对,用于识别将要使用的验证机制。关键字值可为:
- 选择“查看”菜单中的“验证域”,编辑远程提供商所属的验证域。
使用方向箭头将选定的验证域移到“可用”列表中。单击“保存”。这样就将提供商指定给该验证域。一个提供商可以属于一个或多个验证域,但是没有指定验证域的提供商不能参与“特权”通信。
- 从“查看”菜单中选择“可信赖提供商”。
远程提供商将只接受这组提供商发出的请求,而忽略其他提供商发出的请求。要创建可信赖的提供商列表,请从“可用”字段中选择提供商并使用“添加”按钮将这些提供商添加到“选定”字段。(另外,您也可使用“删除”按钮删除提供商。)单击“保存”。
- 选择“Identity Server 配置属性”。
包括以下字段:
验证类型。远程/本地 - 指定代管提供商在收到验证请求时是联系身份提供商(远程)还是否由代管提供商自己(本地)来完成验证。
单一登录/联合配置文件。指定代管提供商用于发送验证请求的配置文件。Identity Server 提供了以下协议:
- 浏览器 Post - 指定基于 http POST 的正向信道协议。
- 浏览器辅件 - 基于 SOAP 的反向信道(非浏览器)协议。
缺省验证环境。指定当身份提供商未在服务提供商请求中接收到验证环境时将要使用的验证环境。它还指定在未知用户试图访问受保护的资源时服务提供商所用的验证环境。缺省值包括:
- Previous-Session
- Time-Sync-Token
- Smartcard
- MobileUnregistered
- Smartcard-PKI
- MobileContract
- Password
- Password-ProtectedTransport
- MobileDigitalID
- Software-PKI
强制验证身份提供商。指明身份提供商在收到验证请求时是否必须进行重新验证(即使在活动的会话期间)。
请求身份提供商为被动。如果选择该字段,则要求身份提供商不与负责人相互通信,而必须与用户相互通信。
组织 DN。如果各个代管提供商选择在不同组织之间管理用户(形成支持的模型),则该字段用于指定组织 DN 的存储位置。
特权版本 URI。指定“特权”规格的版本。
名称标识符实现。允许服务提供商选择是否参与名称注册。名称注册是一个配置文件,服务提供商依据该文件来指定负责人的名称标识符,身份提供商将使用该名称标识与服务提供商通信。
提供商主页 URL。指定提供商的主页。
单一登录失败重定向 URL。指定发生故障的 SSO 的重定向 URL。
断言时间间隔。指定身份提供商所发布断言的有效时间间隔。在断言时间间隔到期之前,身份提供商始终会验证负责人。
清除时间间隔。指定清除存储在身份提供商处的断言的时间间隔。
辅件超时。指定断言辅件在身份提供商处的超时时间。
断言限制。指定身份提供商可以发布或存储的断言数量。
- 单击“保存”。
删除提供商