第 4 章配置授權管理

第 4 章
配置授權管理

本章會說明如何為 Sun Java™ System Portal Server 配置授權管理。

本章包含下列章節：

授權管理的摘要

當企業要建立更大且更為複雜的入口網站時，集中式的管理模型將不再可行。授權或分散管理工作給實際的入口網站使用者之授權管理或「業務範圍」(LOB) 管理能處理這項問題。

Sun Java System Portal Server 讓您使用角色將管理功能授權給使用者。以角色為基礎的管理能讓企業將其業務分為較小的組織或業務範圍 (LOB)，並且讓不同的使用者管理組織、子組織、使用者、策略、角色與根據使用者角色的 LOB 通道。

表 4-1 列出並定義套用於 Sun Java System Portal Server 某些重要的授權管理術語。本表格包括兩欄：第一欄列出術語，而第二欄提供簡要描述。

表 4-1 授權管理術語
術語	說明
特權	可以在資源上執行的單一資源與單一動作組合 (例如，檢視靜態網頁、檢視薪津應用程式中的付款票根、修改薪津應用程式中的 W-4 資料等)。
動作	動作是可以在資源上執行的程序或作業 (例如，讀取目錄、寫入目錄、使用 POP 取得電子郵件、使用 IMAP 取得電子郵件等)。
資源	資源是抽象呈現於軟體中的事物，而其存取受到控制及保護。在 Sun Java System Identity Server 中，資源僅代表 URL 存取。
頂層管理角色	對所有策略與識別設定擁有完整管理權限的角色。
組織管理角色	對組織的策略與識別設定擁有完整管理權限的角色。
業務範圍 (LOB)	業務範圍的功能是可以由業務分析師或同等職位的人執行的管理功能。LOB 管理員能夠執行不需要頂層管理功能來完成的管理工作。一般而言，LOB 功能僅可用於其利益範圍內，功能如將使用者新增或移除授與對資源存取的角色。
角色管理員角色	角色管理員角色具有管理某些其他特定角色與特定使用者物件集的存取權限。例如，將使用者新增或移除角色，或編輯角色層級屬性。
角色管理員	角色管理員是被指定角色管理員角色的使用者。

授權管理角色

Sun Java Sytem Identity Server 管理主控台提供以角色為基礎的授權管理功能給各種不同的管理員，以根據授與的權限來管理組織、使用者、策略、角色與通道。

Sun Java Sytem Identity Server 管理主控台為授權管理功能提供一些預先定義的管理員角色。如下所列：

頂層管理

群組管理

組織管理

組織技術支援中心管理

用戶容器管理

容器管理

容器技術支援中心管理

如需這些角色的詳細資訊，請參閱 Sun Java Sytem Identity Server 產品文件。



備註	Sun Java Sytem Identity Server 也實施其他三種角色：頂層管理、頂層技術支援中心管理與拒絕寫入存取。這些角色在安裝時建立，且僅存在於安裝的根。任何新建立的組織將不會取得這三個角色。依預設，當新的組織建立時，有三個角色會隨之建立：組織管理、組織技術支援中心管理與人物管理。

如果這些功能符合需求，您可以使用這些預先定義的管理員角色來設定您的授權管理實施。例如，如果您的目錄結構是由具有多個子組織的組織所構成，您可以指定「組織管理」角色給使用者來為每個子組織建立授權管理員。然而，若您的企業組織結構更為複雜，可能要針對您的特定需求來建立授權管理模型。為了達成此目標，Sun Java Sytem Identity Server 管理主控台讓您可以定義具有針對您業務需求特權的授權管理員角色。

若要實施企業特定的授權管理模型，有三個重要的概念角色：

頂層管理角色

組織管理角色

角色管理員角色

當設定系統時會建立頂層管理角色，而當設定新組織時會自動建立組織管理角色。角色管理員角色是您根據授權管理模型的需求所建立的角色。角色管理員角色的存取權限是直接由編輯對應的存取控制指令 (ACI) 來定義。

在授權管理中，套用下列原則：

使用者特權是由使用者角色授與。

藉由定義具有所需特權的角色並指定此角色給個別使用者，依每個個別使用者為基礎授與特權。

使用者組可以藉由指定他們一個特定角色來將他們群組在一起。這些使用者將被授與特權組並繼承為該角色定義的動態屬性值。

使用者可以擁有多重或聚集角色。具有多重角色的使用者能夠存取所有其角色的組合功能。當聚集角色所授與的功能有衝突時，衝突排解會根據透過這些角色的每個服務所定義的「衝突排解層級」配置的優先權。從最高至最低共有 7 個可用的衝突排解設定。合併多重角色的角色範本發生屬性衝突時，即會回復範本中設定為最高衝突排解層級的屬性。

發展授權管理模型

為了適當授權 Sun Java System Portal Server 的管理功能，您應該發展授權管理模型以幫助決定您企業所需的管理角色。發展您的模型時，請將以下條件列入考量：

著重在您企業的業務需求。一般而言，以角色為基礎的授權管理之提議解決方案應該與業務需求平行。

發展能讓使用者群組在一起的目錄結構，好讓他們能存取所需的資源，並讓授權的管理員管理其管理需求。

嘗試讓您的業務實體盡可能符合標準樹結構，同時還滿足所有業務需求。您可以使用具有組織及子組織階層的結構，或使用平面式目錄樹結構。在平面式目錄結構中，所有實體直接定義於頂層組織之下，且所有角色在組織階層方面彼此「平行」(包括角色管理員角色)。例如，與業務單位相關的所有使用者會建立在頂層組織下的用戶容器。對於您模型中所需的每個存取角色與管理角色，會在頂層建立對應的角色。

配置授權管理

您執行配置 Sun Java System Portal Server 的授權管理實施的高層級步驟為：

定義角色管理員角色的 ACI 設定

為授權模型建立新的管理角色

指定角色管理員角色給使用者

配置角色的其他限制

定義角色管理員角色的 ACI 設定

若要為您授權模型中識別的任何角色管理員角色配置適當的特權，必須為您授權模型中的每個唯一角色在 ACI 定義適當的權限。您可以使用 Sun Java Sytem Identity Server 管理主控台或 Directory Server 主控台定義角色的 ACI 權限範本。您也可以使用 ldapmodify 指令定義特定角色的 ACI。

在 Sun Java Sytem Identity Server 管理主控台或使用 Directory Server 主控台定義 ACI 權限範本時，請使用下列格式：

permission_name | aci_desc| dn:aci ## dn:aci ## dn:aci

其中：

permission_name 是權限的名稱。

aci_desc 是這些 ACI 允許的存取文字描述。

dn:aci 代表由 ## 分隔的 DN 與 ACI 對組。Sun Java Sytem Identity Server 將每個 ACI 設定在相關的 DN 項目中。

此格式也支援可以被值取代的標記，而值用別的方法必須在 ACI 中正確指定：ROLENAME、ORGANIZATION、GROUPNAME 與 PCNAME。使用這些標記能讓您定義的角色靈活度足以用作預設。根據預設角色之一來建立角色時，ACI 的標記變成從新角色 DN 中取得的值。

如需設定 ACI 的詳細資訊，請參閱「Sun Java Sytem Identity Server Programmers Guide」。



備註	在這些 ACI 範例定義中，根字尾假設為 dc=sesta,dc=com。

若要使用指令行定義 ACI

建立包含 ACI 設定的文字檔，以便與 ldapmodify 指令一起使用。例如，下列檔案 acis.ldif 包含兩個稱為 JDCAdmin1 與 JDCAdmin2 角色的 ACI 定義。

dn:dc=sesta,dc=com

changetype:modify

# aci for JDCAdmin1 role

# This role can add/delete users from JDC role

add:aci

aci:(target= "ldap:///ou=people,dc=sesta,dc=com") (targetattr = "*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search users"; allow (read,search) roledn = "ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

add:aci

aci:(target="ldap:///dc=sesta,dc=com") (targetfilter="(entrydn=cn=JDC,dc=sesta,dc=com)")(targetattr="*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search JDC Role";allow (read,search) roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

add:aci

aci:(target="ldap:///ou=people,dc=sesta,dc=com")(targetattr="nsroledn")(targetfilter="(!(|(nsroledn=cn=Top-level Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Help Desk Admin Role,dc=sesta,dc=com)(nsroledn=cn=Organization Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Policy Admin Role,dc=sesta,dc=com)))")(targattrfilters="add=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com),del=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com)")(version 3.0; acl "Allow JDCAdmin1 Role to add/remove users to JDC Role"; allow (write)roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com」;)

# aci for JDCAdmin2 role

# This role can add/remove channels from the JDC role’s display profile

add:aci

aci:(target="ldap:///cn=SunPortalDesktopService,dc=sesta,dc=com")(targetfilter=(cn=cn=JDC,dc=sesta,dc=com))(targetattr="*")(version 3.0; acl "Allow JDCAdmin2 to edit display profile of JDC Role"; allow (all) roledn="ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)

add:aci

aci:(target="ldap:///dc=sesta,dc=com")(targetattr = "*") (version 3.0; acl "Allow JDCAdmin2 to read and search all"; allow (read,search) roledn = "ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)

變更目錄為 Sun Java Sytem Identity Server 公用程式目錄。例如，

cd /BaseDir/SUNWam/bin

設定 LD_LIBRARY_PATH 以包含 IS_BASEDIR/SUNWam/ldaplib/solaris/sparc/ldapsdk

執行下列指令。

./ldapmodify -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/acis.ldif

以管理員的身份登入 Sun Java System Identity Server 管理主控台。

依預設，位置窗格中的 [識別管理] 及 [導覽] 窗格中的 [組織] 皆已選取。

導覽至要建立新角色的組織或子組織 (例如 JDCAdmin1 與 JDCAdmin2)。

從 [檢視] 功能表選擇 [角色] ，並按一下 [新增]。

[新角色] 的頁面出現在資料窗格中。

輸入角色資訊 (名稱、描述、角色類型、存取權限) 並按一下 [建立」 (例如，靜態角色 JDC 具有 "Type=Service" 與 "Access Permissions=No Permissions")。

新的角色會出現在導覽窗格中。

為您建立的角色建立 [桌面] 服務範本。

從 [檢視] 功能表中選擇 [服務]。

按一下 [桌面] 服務旁的特性箭頭。

接受或修改 [桌面] 服務的預設特性值，並按一下 [儲存]。

在角色顯示設定檔中建立標籤 (例如，JDC 的角色顯示設定檔)。

導覽至要建立標籤的角色。

在瀏覽窗格中的 [檢視] 功能表中選擇 [服務]。

按一下導覽窗格中 [桌面] 旁邊的特性箭頭。

桌面屬性頁面隨即出現在資料窗格中。

在桌面頁中按一下 [通道與容器管理] 連結。

[通道] 頁面隨即出現，具有在根處設定的容器路徑集。

按一下想要新增通道或容器的 [容器]。

頁面頂端顯示將新增通道的容器路徑。已定義的通道與容器會顯示在清單中 (若有的話)。

按一下 [新增] 以新增容器通道或通道。

若要新增容器通道，請按一下 [容器通道] 下的 [新增]。若要新增通道，請按一下 [通道] 下的 [新增]。

[新增] 頁面隨即顯示。

請鍵入通道名稱，然後從功能表中選取提供者類型。

按一下 [建立]。

如需詳細資料，請參閱第 7 章，「管理顯示設定檔」。

建立使用者 (例如 admin1 或 admin2)。

導覽至要建立使用者的角色。

從 [檢視] 功能表選擇使用者，並按一下 [新增]。

[新使用者] 頁面會出現在資料窗格中。

選取要指定給使用者的服務，並按一下 [下一步]。

輸入使用者資訊並按一下 [建立]。

新的使用者會出現在導覽窗格中。

指定角色給使用者 (例如 JDCadmin1 給 admin1 或 JDCadmin2 給 admin2)。

導覽至要指定角色的組織或子組織。

從 [檢視] 功能表中選擇 [使用者]。

按一下要被指定角色的使用者旁的特性箭頭。

使用者的設定檔資訊會出現在資料窗格中。

按一下資料窗格中 [檢視] 功能表的 [角色]。

[新增角色] 的頁面隨即顯示。

核取角色旁的方塊以指定，並按一下 [儲存]。

此使用者的角色方塊會隨指定的角色而更新。

按一下 [儲存] 以儲存變更。

登出管理主控台。

若要使用管理主控台定義 ACI

以頂層管理身份登入 Sun Java Sytem Identity Server 管理主控台。

依預設，位置功能表中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

按一下位置窗格中的 [服務配置]。

按一下 [管理] 服務旁的特性箭頭。

管理屬性隨即顯示在資料窗格中。

在 [預設角色權限] (ACI) 項目欄位中，輸入 ACI 定義並按一下 [新增]。例如，對於之前已定義的 JDCAdmin1 and JDCAdmin1 角色，您會輸入下列：

JDCAdmin1|Add/delete users from JDC role|dc=sesta,dc=com:aci: (target= "ldap:///ou=people,dc=sesta,dc=com") (targetattr = "*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search users"; allow (read,search) roledn = "ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)##dc=sesta,dc=com:aci: (target="ldap:///dc=sesta,dc=com") (targetfilter="(entrydn=cn=JDC,dc=sesta,dc=com)")(targetattr="*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search JDC Role";allow (read,search) roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";) ##dc=sesta,dc=com:aci:(target="ldap:///ou=people,dc=sesta,dc=com")(targetattr="nsroledn")(targetfilter="(!(|(nsroledn=cn=Top-level Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Help Desk Admin Role,dc=sesta,dc=com)(nsroledn=cn=Organization Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Policy Admin Role,dc=sesta,dc=com)))")(targattrfilters="add=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com),del=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com)")(version 3.0; acl "Allow JDCAdmin1 Role to add/remove users to JDC Role"; allow (write)roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)

JDCAdmin2|Add/remove channels from the JDC role|dc=sesta,dc=com:aci:(target="ldap:///cn=SunPortalDesktopService,dc=sesta,dc=com")(targetfilter=(cn=cn=JDC,dc=sesta,dc=com))(targetattr="*")(version 3.0; acl "Allow JDCAdmin2 to edit display profile of JDC Role"; allow (all) roledn="ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)##dc=sesta,dc=com:aci:(target="ldap:///dc=sesta,dc=com")(targetattr = "*") (version 3.0; acl "Allow JDCAdmin2 to read and search all"; allow (read,search) roledn = "ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)

新的 ACI 會出現在 [預設角色權限] (ACI) 清單中。

按一下 [儲存]。

若要為授權模型建立新的管理角色

一旦您已建立定義授權管理角色權限的 ACI，則必須建立使用該 ACI 定義的角色。

以頂層管理或組織管理身份登入 Sun Java Sytem Identity Server 管理主控台。

依預設，位置功能表中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

導覽至要建立角色的組織或子組織。

所有已建立的組織會顯示在導覽窗格中。



備註	如果這是新組織，您必須註冊所有服務並建立適當的範本。如需更多資訊，請參閱第 3 章，「管理認證、使用者與服務」。

從 [檢視] 功能表選擇 [角色] ，並按一下 [新增]。

[新角色] 的頁面出現在資料窗格中。

輸入名稱、選取靜態角色並按一下 [下一步]。

輸入描述並選擇 [管理] 為類型。

選取 [存取權限]：

如果您使用 [管理主控台] 已建立角色的 ACI 定義，請從 [存取權限] 清單選取您建立的角色。

如果您使用指令行已建立角色的 ACI 定義，選取 [無權限] 作為角色名稱將不會列在 [存取權限] 清單中。

按一下 [建立]。

新的角色會出現在導覽窗格中。

若要指定角色管理員角色

以管理員的身份登入 Sun Java System Identity Server 管理主控台。

依預設，位置功能表中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

導覽至已建立角色的組織或子組織。

所有已建立的組織會顯示在導覽窗格中。

從 [檢視] 功能表中選擇 [角色]。

按一下角色的特性箭頭以指定。

在資料窗格中從 [檢視] 功能表中選擇 [使用者] ，然後按一下 [新增]。

[新增使用者] 的頁面出現在資料窗格中。

指定欄位的值以尋找要指定的使用者，並按一下 [過濾]。

使用者清單隨即顯示。

核取要指定角色至使用者旁的方塊，或按一下 [全選] 以選擇所有使用者。

按一下 [提交]。

此角色的使用者清單會更新被指定的使用者。

若要配置角色管理員角色的其他限制

您可以配置一個具有受限功能組的角色。您想要的一般限制是角色有權限修改顯示設定檔並執行內容管理功能，但是限制檢視 [桌面] 的其餘屬性。

您也可以設定授權管理員具有起始 DN 檢視。起始 DN 檢視是授權管理員可以看到並修改實體之下的目錄位置。

若要配置角色的其他限制：

以管理員的身份登入 Sun Java System Identity Server 管理主控台。

依預設，位置功能表中的 [識別管理] 及導覽窗格中的 [組織] 皆已選取。

導覽至包含要配置角色的組織或子組織。

所有已建立的組織會顯示在導覽窗格中。

從 [檢視] 功能表中選擇 [角色]。

選取要配置的角色。

從 [檢視] 功能表中選取 [服務]。

若要限制角色只能使用顯示設定檔或通道管理功能，請執行下列：

按一下 [桌面] 服務的 [編輯] 連結。

建立此角色的 [使用者] 服務範本。

[桌面] 頁面隨即顯示在資料窗格中。

取消選取 [顯示桌面屬性] 核取方塊。

在 [管理 DN 起始檢視] 中指定 DN。

按一下 [儲存]。



備註	如果取消選取 [顯示桌面屬性] 核取方塊，當具有此角色的使用者存取 [桌面] 服務時，他們將無法看到 [桌面] 屬性，且只能看到 [通道] 與 [容器管理] 連結。此外，他們將只能看到定義於角色層級的通道與容器。

若要限制角色至特定起始 DN，請執行下列：

按一下 [使用者] 服務的 [編輯] 連結。

建立此角色的 [使用者] 服務範本。

[使用者] 的頁面出現在資料窗格中。

在 [管理 DN 起始檢視] 中指定 DN。例如，cn=JDC, dc=sesta, dc=com。

按一下 [儲存]。

上一頁目錄索引下一頁
Sun Java System Portal Server 6 2004Q2 管理員指南