Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Identity Server 2004Q2 管理指南 

第 4 章
身份认证管理

本章介绍 Sun Java™ System Identity Server 2004Q2 的身份管理功能。“身份管理”模块界面提供了查看、管理和配置所有 Identity Server 对象和身份的方法。本章包含以下部分:

Identity Server 控制台

Identity Server 控制台分为三个部分:“位置”窗格、“浏览”窗格和“数据”窗格。通过使用这三个窗格,管理员可以浏览目录、执行用户和服务配置以及创建策略。

图 4-1  Identity Server 控制台

Identity Server 控制台:标题框(顶部)、浏览框(左侧)、数据框(右侧)

标题窗格

“标题”窗格位于控制台的顶部。“标题”窗格中的选项卡允许管理员在各个管理模块视图之间进行切换:

位置字段用于追踪管理员在目录树中的位置。此路径用于进行浏览。

欢迎字段显示当前运行控制台的用户的名称,并可以链接到用户配置文件。

搜索链接显示用户用于搜索特定 Identity Server 对象类型的条目的界面。使用下拉菜单选择对象类型并输入搜索字符串。结果将返回到搜索表格中。允许输入通配符。

帮助链接可以打开一个浏览窗口,其中包含有关“身份管理”、“当前会话”、“联合管理”以及本文档中第 IV 部分属性参考”的信息。

退出链接允许用户从 Identity Server 中退出。

浏览窗格

“浏览”窗格位于 Identity Server 控制台的左侧。目录对象部分(在灰色框中)显示当前打开的目录对象的名称及其属性链接。(“浏览”窗格中显示的大多数对象都将具有相应的属性链接。选择此链接将在右侧的“数据”窗格中显示条目的属性。)“查看”菜单列出了选定目录对象下的目录。根据子目录的数量,界面将提供分页功能。

数据窗格

“数据”窗格位于控制台的右侧。此窗格用于显示和配置所有对象属性及其值,还可以在其中按照组、角色或组织选择其相应的条目。

提示

您可以通过单击“全部选择”或“全部取消”图标来选择或取消选择列表中的所有项目。

“全部选择”和“全部取消”图标

 

Identity Server 图形用户界面有两种基本视图。用户可能会获得“身份管理”视图或“用户配置文件”视图的访问权,具体取决于登录用户的角色。

“身份管理”视图

当具有管理角色的用户在 Identity Server 中进行验证时,其默认视图为“身份管理”视图。管理员可以在该视图中执行管理任务。这些任务可以包括创建、删除和管理对象(用户、组织、策略等)及配置服务,具体取决于管理员的角色。

图 4-2  显示了组织属性的“身份管理”视图

Identity Server 控制台 - 显示了组织特性的“身份认证管理”视图。

用户配置文件视图

当尚未指定管理角色的用户向 Identity Server 进行验证时,默认视图为用户自己的“用户配置文件”视图。在该视图中,用户可以修改其个人配置文件特定的属性值。包括但不限于姓名、家庭地址和口令。可以扩展“用户配置文件”视图中显示的属性。有关为对象和身份添加自定义属性的详细信息,参见《Identity Server Developer's Guide》。

属性功能

要查看或修改条目属性,请单击对象名称旁边的属性箭头。将会在“数据”窗格中显示其属性及相应的值。不同的对象显示不同的属性。

有关如何扩展条目的属性的信息,参见《Identity Server Developer's Guide》。

图 4-3  用户配置文件视图

Identity Server 控制台 -“用户配置文件”视图。

身份管理界面

可使用“身份管理”界面创建和管理与身份相关的对象。使用 Identity Server 控制台或命令行界面可以定义、修改或删除用户、角色、组、策略、组织、子组织和容器对象等等。控制台的默认管理员具有不同等级的权限,这些权限可用于创建和管理组织、组、容器、用户、服务和策略。(可以基于角色创建其他管理员。)管理员是在与 Identity Server 一起安装 Directory Server 时,在 Directory Server 中进行定义的。

管理 Identity Server 对象

“用户管理”界面包含查看和管理 Identity Server 对象(组织、组、用户、服务、角色策略、容器对象和代理)必需的所有组件。本部分说明对象类型及其详细配置方法。

对于多数 Identity Server 对象类型,可选择配置“显示选项”和“可用操作”以显示或隐藏 Web 界面在 Identity Server 控制台中的显示方式。配置在组织和角色级完成,用户会从其所在组织以及分配给他们的角色中继承该配置。这些设置在本章的最后进行说明。

组织

在企业用来管理部门和资源的层次结构中,组织表示最高一级。安装时,Identity Server 会动态创建一个顶级组织(在安装过程中定义)以管理 Identity Server 企业配置。安装后可以创建其他组织,以管理单独的企业。所有创建的组织均位于顶级组织之下。

创建组织

  1. 从“身份管理”模块的“查看”菜单中选择“组织”。
  2. 在“浏览”窗格中单击“新建”。
  3. 输入字段的值。仅“名称”是必需字段。这些字段包括:

    4. 名称。输入组织的名称。

    域名。输入组织的完整域名系统 (DNS) 名称(如果存在)。

    组织状态。选择“有效”或“无效”状态。

    默认值为“有效”。在组织存在期间,可以随时选择属性图标来更改该状态。如果选择“无效”,则当登录到组织时,将禁用用户访问。

    组织别名。该字段定义组织的别名,以允许您在通过 URL 登录时使用别名进行验证。例如,如果组织的名称为 exampleorg,而将 123abc 定义为组织的别名,则可使用以下任一 URL 登录到该组织:

    http://machine.example.com/UI/Login?org=exampleorg

    http://machine.example.com/UI/Login?org=abc

    http://machine.example.com/UI/Login?org=123

    组织别名在组织中必须唯一。可以使用“唯一属性列表”来强制执行唯一性。

    DNS 别名。用于添加组织的 DNS 名称的别名。该属性只接受“真实的”域别名(不允许使用随机字符串)。例如,如果 DNS 的名称为 example.com,而名为 exampleorg 的组织的别名定义为 example1.comexample2.com,则可使用以下任一 URL 登录到该组织:

    http://machine.example.com/UI/Login?org=exampleorg

    http://machine.example1.com/UI/Login?=org=exampleorg

    http://machine.example2.com/UI/Login?org=exampleorg

    唯一属性列表。用于添加组织中用户的唯一属性名列表。例如,如果添加用于指定电子邮件地址的唯一属性名,则不能创建两个使用相同电子邮件地址的用户。也可以在该字段中输入以逗号分隔的列表。列表中的任一属性名均定义了唯一性。例如,如果该字段包含以下属性名列表:

    PreferredDomain, AssociatedDomain

    并且针对特定用户将 PreferredDomain 定义为 http://www.example.com,从而使整个以逗号分隔的列表在 URL 中唯一。

    对于所有子组织都强制执行唯一性。

  4. 单击“确定”。

    5. 将在“浏览”窗格中显示新创建的组织。要编辑在创建组织过程中定义的任意属性,请单击所要编辑的组织旁边的属性箭头,从“数据”窗格的“查看”菜单中选择“常规”,然后编辑属性并单击“确定”。可使用“显示选项”和“可用操作”视图来自定义 Identity Server 控制台的外观,并为所有针对此组织进行验证的用户指定相应的行为。

删除组织

  1. 从“身份管理”模块的“查看”菜单中选择“组织”。

    2. 将显示所有已创建的组织。要显示特定的组织,请输入搜索字符串并单击“搜索”。

  2. 选中要删除的组织名称旁边的复选框。
  3. 单击“删除”。

    		4.

    执行删除时不会显示警告消息。组织内的所有条目都将被删除,并且不能执行撤消操作。

将组织添加到策略

可以通过定义策略的主题将 Identity Server 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,参见管理策略

代表具有共同职责、特征或利益的用户集合。通常来说,这种分组不会涉及权限。组可存在于两个级别,分别是组织和其他被管理组中。存在于其他组中的组称为子组。子组是“物理上”存在于父组中的子节点。

Identity Server 还支持嵌套组,它们是单个组中所含现有组的“表示形式”。与子组不同,嵌套组可以存在于 DIT 中的任何位置。使用嵌套组可以快速地为多个用户设置访问权限。

创建组时,您可以创建采用“按订阅指定成员”的组(静态组),也可以创建采用“按过滤指定成员”的组(过滤组)。这样可以控制将用户添加到组的方式。只能将用户添加到静态组动态组则用来通过过滤器控制用户的添加。但是,嵌套组或子组却可以添加到静态组和动态组。

静态组(按订阅指定成员)

当按订阅指定组成员时,将根据您指定的“管理的组类型”创建静态组。如果“管理的组类型”值为“静态”,则使用 groupOfNamesgroupOfUniqueNames 对象类将组成员添加到组条目中。如果“管理的组类型”值为“动态”,则使用特定的 LDAP 过滤器来搜索并只返回包含 memberof 属性的用户条目。有关详细信息,参见管理的组类型

默认情况下,管理的组类型为动态的。您可以在“管理”服务配置中更改此默认设置。

过滤组(按过滤指定成员)

过滤的组是指通过使用 LDAP 过滤器创建的动态组。所有条目都会被过滤器过滤并被动态指定给组。过滤器将搜索条目中的属性,并返回包含该属性的条目。例如,如果您想基于楼房编号创建组,可以使用过滤器返回一个包含楼房编号属性的所有用户的列表。

要使用引用完整性插件,应将 Identity Server 与 Directory Server 一起进行配置。启用引用完整性插件后,该插件会在删除或重命名操作后立即对指定属性执行完整性更新。这就确保了数据库中的所有相关条目之间总保持相应的关系。数据库索引则增强了 Directory Server 中的搜索性能。有关启用插件的详细信息,参见《Sun Java System Identity Server Migration Guide》。

创建静态组

  1. 转到将在其中创建组的组织、组或组容器。
  2. 从“查看”菜单中选择“组”。
  3. 单击“新建”。
  4. 从“数据”窗格中选择“按订阅指定成员”作为组类型。
  5. 在“名称”字段中输入组的名称。单击“下一步”。
  6. 选择“用户可以订阅该组”属性可以使用户自行订阅组。
  7. 如果已在 DIT 中定义了多个组容器,并且未启用(管理服务的)“显示组容器”属性,则可以选择静态组所属的父组容器。否则,将不显示此字段。
  8. 单击“完成”。

    9. 组创建完毕后,可以通过从“数据”窗格的“查看”菜单中选择“常规”来编辑“用户可以订阅该组”属性。

在静态组中添加或移除成员

  1. 单击要向其添加成员的组旁边的属性箭头。
  2. 在“数据”窗格中,从“查看”菜单中选择“成员”。

    3. 在“选择操作”菜单中选择要执行的操作。可以执行以下操作:

    新建用户。保存用户信息时,此操作将创建新用户并自动将该用户添加到组。

    添加用户。此操作可将现有用户添加到组。选择此操作后,请创建搜索条件指定要添加的用户。用来构造该条件的字段使用 ANYALL 运算符。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。从返回的用户列表中,选择要添加的用户并单击“确定”。

    添加组。此操作可把嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定用户是否可以自行订阅组。从返回的组列表中,选择要添加的组并单击“确定”。

    移除成员。此操作只是从组中移除成员,不会进行永久性删除。选择要移除的成员并从操作菜单中选择“移除成员”。

    删除成员。此操作可永久删除所选成员。

创建过滤组

  1. 找到要在其中创建组的组织(或组)。
  2. 从“查看”菜单中选择“组”。
  3. 单击“新建”。
  4. 从“数据”窗格中为组类型选择“按过滤指定成员”。
  5. 在“名称”字段中输入组的名称。单击“下一步”。
  6. 构造 LDAP 搜索过滤器。

    7. 默认情况下,Identity Server 将显示 Basic 搜索过滤器界面。用于构造过滤器的 Basic 字段使用 ANYALL 运算符。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。如果某个字段保留为空,则该字段将匹配该特定属性的所有可能条目。

    另外,您可以选择“高级”按钮来自行定义过滤器属性。例如:

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    单击“完成”后,系统将自动把与搜索条件匹配的所有用户添加到组。

在过滤组中添加或移除成员

  1. 单击要向其添加成员的组旁边的属性箭头。
  2. 在“数据”窗格中,从“查看”菜单中选择“成员”。

    3. 在“选择操作”菜单中选择要执行的操作。可以执行以下操作:

    添加组。此操作可把嵌套组添加到当前组。选择此操作时要创建搜索条件,包括搜索范围、组的名称(允许使用通配符“*”),并且可指定组是否允许用户自行订阅。从返回的组列表中,选择要添加的组并单击“确定”。

    移除成员。此操作只是从组中移除成员,不会进行永久性删除。选择要移除的成员并单击“确定”。

    删除成员。此操作可永久删除所选成员。

将组添加到策略

可以通过定义策略的主题将 Identity Server 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,参见管理策略

用户

用户表示个人身份。通过“Identity Server 身份管理”模块,可以在组织、容器和组中创建和删除用户,还可以从角色和/或组中添加或移除用户。此外,还可以将服务指定给用户。

如果子组织中的用户使用相同的用户 ID (amadmin) 创建,以 amadmin 登录时将会失败。如果出现这种问题,管理员应该通过 Directory Server 控制台更改用户的用户 ID。这样可使管理员登录到默认组织。另外,验证服务中的“起始用户搜索的 DN”可以设置为用户容器 DN,以确保在登录过程中返回唯一匹配项。

创建用户

  1. 找到要在其中创建用户的组织、容器或用户容器。
  2. 从“查看”菜单中选择“用户”。
  3. 单击“新建”。

    4. “数据”窗格中将显示“新建用户”页面。

  4. 选择要指定给用户的服务。

    5. 仅显示那些包含用户属性并且已添加到用户所属的组织中的服务。单击“下一步”。

  5. 如果已在 DIT 中定义了多个(两个以上)组容器,并且未启用(管理服务器中的)“显示组容器”属性,则可以从“用户创建”页面选择静态组所属的用户容器。否则,将不显示此字段。
  6. 输入必需的属性值。

    7. 有关用户配置文件属性的信息,参见用户属性

  7. 单击“确定”。

将用户添加到角色和组

  1. 找到要修改的用户所属的组织。
  2. 从“查看”菜单中选择“用户”。
  3. 在“浏览”窗格中,选择所要修改的用户并单击属性箭头。
  4. 从“数据”窗格的“查看”菜单中选择“角色”或“组”。仅显示已指定给该用户的角色和组。单击“添加”查看要从中进行选择的可用角色和组列表。
  5. 选择要向其添加用户的角色或组,然后单击“保存”。

为用户添加服务

  1. 找到要修改的用户所属的组织。
  2. 从“浏览”窗格的“查看”菜单中选择“用户”。
  3. 在“浏览”窗格中,选择所要修改的用户并单击属性箭头。
  4. 从“数据”窗格的“查看”菜单中选择“服务”。
  5. 单击“添加”以选择要指定到用户的服务。
  6. 单击“保存”。

删除用户

  1. 查找用户所在的位置。
  2. 从“查看”菜单中选择“用户”。
  3. 选中要删除的用户名称旁边的复选框。
  4. 单击“删除”。

    		5.

    在进行删除操作之前不会显示警告消息,且删除操作不能撤消。

将用户添加到策略

可以通过定义策略的主题将 Identity Server 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,参见管理策略

服务

为组织或容器激活服务需要两步(容器与组织的行为相同)。首先,需要将该服务添加到组织。添加服务后,必须配置专门为该组织配置的模板。有关其他信息,参见第 5 章,“服务配置”

首先必须通过命令行的 amadmin 命令将新服务导入到 Identity Server 中。有关导入服务的 XML 模式的信息,参见《Identity Server Developer's Guide》。

添加服务

  1. 找到要向其中添加服务的组织。

    2. 从“身份管理”模块的“查看”菜单中选择“组织”,然后从“浏览”窗格中选择组织。“位置”路径可以显示默认的顶级组织和选定的组织。

  2. 从“查看”菜单中选择“服务”。
  3. 单击“添加”。

    4. “数据”窗格中将显示可添加到此组织的服务的列表。

  4. 选择要每个所要添加服务旁边的复选框。
  5. 单击“确定”。将在“浏览”窗格中显示已添加服务。

    		6.

    只有添加到父组织的服务才会在子组织级别显示。

为服务创建模板

  1. 找到添加的服务所在的组织或角色。

    2. 从“身份管理”模块的“查看”菜单中选择“组织”,然后从“浏览”窗格中选择组织。

  2. 从“查看”菜单中选择“服务”。
  3. 单击要激活的服务名称旁边的属性图标。

    4. “数据”窗格中将显示消息:当前不存在用于该服务的模板。现在是否创建一个模板?

  4. 单击“是”。

    5. 将为父组织或角色的该服务创建模板。“数据”窗格中将显示此服务的默认属性和值。有关默认服务属性的说明,参见属性参考

  5. 接受或修改默认值,然后单击“保存”。

移除服务

  1. 找到要移除的服务所在的组织。

    2. 从“身份管理”模块的“查看”菜单中选择“组织”,然后从“浏览”窗格中选择组织。

  2. 从“查看”菜单中选择“服务”。
  3. 选中要移除的服务的复选框。
  4. 单击“移除”。

    		5.

    如果服务是在子组织级别注册的,则无法在父组织级别移除这些服务。

角色

角色是与概念类似的 Directory Server 条目机制。组有成员,角色也有成员。角色的成员是指具有该角色的 LDAP 条目。角色本身的条件被定义为具有属性的 LDAP 条目,由条目的独特的名称 (DN) 属性来标识。Directory Server 具有很多不同类型的角色,但 Identity Server 只能管理其中的一种:被管理的角色。

在目录部署中还可以使用其他 Directory Server 角色类型,只是它们不能被 Identity Server 控制台管理。还可以在策略的主题定义中使用其他 Directory Server 类型。有关策略主题的详细信息,参见创建策略

用户可以拥有一个或多个角色。例如,可以创建一个承包商角色,其属性来自“会话服务”和“口令重置服务”。启动新承包商时,管理员可以将其指定为该角色,而不需在承包商条目中分别设置各个属性。如果承包商在工程部工作并且需要适用于工程员工的服务以及访问权限,则管理员可以为该承包商同时指定工程角色和承包商角色。

Identity Server 使用角色来应用访问控制指令。首次安装 Identity Server 时,会配置用于定义管理员权限的访问控制指令 (ACI)。然后会在角色(如“组织管理员角色”和“组织帮助台管理员角色”)中指定这些 ACI。当将角色分配给用户时,这些角色用于定义用户的访问权限。

仅当管理服务中启用了“显示用户的角色”属性时,用户才可以查看为其分配的角色。有关详细信息,参见在“用户配置文件”页面中显示角色

要使用引用完整性插件,应将 Identity Server 与 Directory Server 一起进行配置。启用引用完整性插件后,该插件会在删除或重命名操作后立即对指定属性执行完整性更新。这就确保了数据库中的所有相关条目之间总保持相应的关系。数据库索引则增强了 Directory Server 中的搜索性能。有关启用插件的详细信息,参见《Sun Java System Identity Server Migration Guide》。

与组类似,角色也可以通过过滤创建,或者以静态方式创建。

静态角色。与过滤的角色相比,静态角色在创建时可以不添加用户。这样,在向给定的角色添加特定用户时,您可以更好的进行控制。

过滤的角色。过滤的角色是指通过使用 LDAP 过滤器创建的动态角色。在创建角色时,会为所有通过过滤器过滤的用户指定该角色。过滤器会搜索条目中的所有属性值对(例如,ca=user*),并自动将包含该属性的用户指定到角色。

创建静态角色

  1. 在“浏览”窗格中,找到要在其中创建角色的组织。
  2. 从“查看”菜单中选择“角色”。

    3. 配置组织时会创建一组默认角色,这些角色显示在“浏览”窗格中。默认角色包括:

    容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单元内所有条目的读取权限,但仅对自身容器单元中用户条目的 userPassword 属性具有写入权限。

    组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

    创建一个子组织时,请注意要在该子组织中创建管理角色,而不是在父组织中创建管理角色。

    容器管理员。“容器管理员”角色拥有对 LDAP 组织单元中所有条目的读写权限。在 Identity Server 中,LDAP 组织单元通常被称为容器。

    组织策略管理员。“组织策略管理员”拥有对所有策略的读写权限,并可以创建、分配、修改和删除自身组织内的所有策略。

    用户容器管理员。默认情况下,新创建的组织中的所有用户条目都是该组织的“用户容器”的成员。“用户容器管理员”对该组织的“用户容器”中的所有用户条目都具有读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色和组的属性,也不能从角色或组中移除用户。

    可以使用 Identity Server 配置其他容器,以包含用户条目、组条目甚至其他容器。要将“管理员”角色应用到配置组织之后创建的容器,可使用“容器管理员角色”或“容器帮助台管理员”默认值。

    组管理员。“组管理员”对特定组的所有成员拥有读写权限,并可以创建新用户、将用户分配给自己所管理的组以及删除自己创建的用户。

    创建组时,将自动生成组管理员角色,并赋予管理组所必需的权限,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。

    顶级管理员。“顶级管理员”拥有对顶级组织中所有条目的读写权限。换句话说,“顶级管理员”角色具有 Identity Server 应用程序中所有配置主用户所拥有的权限。

    组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成组织管理员角色,该角色拥有管理组织所必需的权限。

  3. 在“浏览”窗格中单击“新建”。“数据”窗格中将显示“新建角色”模板。
  4. 选择“静态角色”,然后输入名称。单击“下一步”。
  5. 输入角色的说明。
  6. 从“类型”菜单中选择角色类型。

    7. 角色可以是管理角色,也可以是服务角色。角色类型由控制台使用,用来确定在哪里启动 Identity Server 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。

  7. 从“访问权限”菜单中选择一组默认权限以应用到角色。拥有这些权限后便可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括:

    8. 无权限。对角色不设置权限。

    组织管理员。“组织管理员”拥有对已配置的组织中所有条目的读写权限。

    组织帮助台管理员。“组织帮助台管理员”拥有对已配置的组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

    组织策略管理员。“组织策略管理员”拥有对组织中所有策略的读写权限。组织策略管理员不能创建对等组织的侯选策略。

    通常,“无权限 ACI”会指定给服务角色,而默认的 ACI 会指定给管理角色。

  8. 单击“完成”。

    9. 创建的角色显示在“浏览”窗格中,该角色的状态信息显示在“数据”窗格中。

    通过从“查看”菜单中选择“显示选项”和“可用操作”,可以有选择性地对显示选项和可用操作进行配置。有关详细信息,参见本章最后的“显示选项”和“可用操作”。

将用户添加到静态角色

  1. 选择要修改的角色,然后单击属性箭头。
  2. 从“数据”窗格的“查看”菜单中选择“用户”。
  3. 单击“添加”。
  4. 输入搜索条件信息。可以选择一个或多个显示的字段,根据这些字段来搜索用户。这些字段包括:

    5. 根据值返回用户。用于指定搜索要返回的值。

    匹配。允许您使用逻辑运算符连接所有用于过滤的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。

    用户 ID。按照用户 ID 搜索用户。

    名字。按照用户的名字搜索用户。

    姓氏。按照用户的姓氏搜索用户。

    全名。按照用户的全名搜索用户。

    用户状态。按照用户的状态(有效或无效)搜索用户。

  5. 单击“下一步”开始搜索。将显示搜索结果。
  6. 选中用户名称旁边的复选框,可以从返回的名称中选择用户。
  7. 单击“完成”。

    8. 用户将被分配到角色。

创建过滤的角色

  1. 在“浏览”窗格中,找到要在其中创建角色的组织。
  2. 从“查看”菜单中选择“角色”。

    3. 配置组织时会创建一组默认角色,这些角色显示在“浏览”窗格中。默认角色包括:

    容器帮助台管理员。“容器帮助台管理员”角色拥有对组织单元内所有条目的读取权限,但仅对自身容器单元中用户条目的 userPassword 属性具有写入权限。

    组织帮助台管理员。“组织帮助台管理员”拥有对组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

    创建一个子组织时,请注意要在该子组织中创建管理角色,而不是在父组织中创建管理角色。

    容器管理员。“容器管理员”角色拥有对 LDAP 组织单元中所有条目的读写权限。在 Identity Server 中,LDAP 组织单元通常被称为容器。

    组织策略管理员。“组织策略管理员”拥有对所有策略的读写权限,并可以创建、分配、修改和删除自身组织内的所有策略。

    用户容器管理员。默认情况下,新创建的组织中的所有用户条目都是该组织的“用户容器”的成员。“用户容器管理员”对该组织的“用户容器”中的所有用户条目都具有读写权限。请注意,该角色“并不”具有对包含角色和组 DN 的属性的读写权限,因此他们不能修改角色和组的属性,也不能从角色或组中移除用户。

    可以使用 Identity Server 配置其他容器,以包含用户条目、组条目甚至其他容器。要将“管理员”角色应用到配置组织之后创建的容器,可使用“容器管理员角色”或“容器帮助台管理员”默认值。

    组管理员。“组管理员”对特定组的所有成员拥有读写权限,并可以创建新用户、将用户分配给自己所管理的组以及删除自己创建的用户。

    创建组时,将自动生成组管理员角色,并赋予管理组所必需的权限,但不会将角色自动指定到组成员。角色必须由组创建者或任何拥有“组管理员角色”访问权限的人员来指定。

    顶级管理员。“顶级管理员”拥有对顶级组织中所有条目的读写权限。换句话说,“顶级管理员”角色具有 Identity Server 应用程序中所有配置主用户所拥有的权限。

    组织管理员。“组织管理员”拥有对组织中所有条目的读写权限。创建组织时将自动生成组织管理员角色,该角色拥有管理组织所必需的权限。

  3. 在“浏览”窗格中单击“新建”。“数据”窗格中将显示“新建角色”模板。
  4. 选择“过滤的角色”,然后输入名称。单击“下一步”。
  5. 输入角色的说明。
  6. 从“类型”菜单中选择角色类型。

    7. 角色可以是管理角色,也可以是服务角色。角色类型由控制台使用,用来确定在哪里启动 Identity Server 控制台中的用户。管理角色会通知控制台,角色的所有人拥有管理权限;服务角色会通知控制台,角色的所有人为最终用户。

  7. 从“访问权限”菜单中选择默认的一组权限,以应用到角色。
  8. 拥有这些权限,可以访问组织中的条目。显示的默认权限未按照特定顺序排列。这些权限包括:

    9. 无权限。对角色不设置权限。

    组织管理员。“组织管理员”拥有对已配置的组织中所有条目的读写权限。

    组织帮助台管理员。“组织帮助台管理员”拥有对已配置的组织中所有条目的读取权限以及对 userPassword 属性的写入权限。

    组织策略管理员。“组织策略管理员”拥有对组织中所有策略的读写权限。组织策略管理员不能创建对等组织的侯选策略。

    通常,“无权限 ACI”会指定给服务角色,而默认的 ACI 会指定给管理角色。

  9. 输入搜索条件信息。这些字段包括:

    10. 匹配。允许您使用逻辑运算符连接所有用于过滤的字段。ALL 将根据所有指定的字段向用户返回结果。ANY 将根据所指定的任一字段向用户返回结果。

    用户 ID。按照用户 ID 搜索用户。

    名字。按照用户的名字搜索用户。

    姓氏。按照用户的姓氏搜索用户。

    全名。按照用户的全名搜索用户。

    用户状态。按照用户的状态(有效或无效)搜索用户。

    另外,您可以选择“高级”按钮来自行定义过滤器属性。例如:

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    单击“重置”以清除过滤器属性,或者单击“取消”以取消创建角色进程。

  10. 单击“完成”基于过滤条件启动搜索。通过过滤条件定义的用户会自动被指定到角色。

    11. 通过从“查看”菜单中选择“显示选项”和“可用操作”,可以有选择性地对显示选项和可用操作进行配置。有关详细信息,参见本章最后的“显示选项”和“可用操作”。

    可以通过“角色配置文件”页面和/或“用户配置文件”页面将用户添加到静态角色中。

从角色中移除用户

  1. 找到包含要修改的角色的组织。

    2. 从“身份管理”模块的“查看”菜单中选择“组织”,然后从“浏览”窗格中选择组织。

  2. 从“查看”菜单中选择“角色”。
  3. 选择要修改的角色。
  4. 从“查看”菜单中选择“用户”。
  5. 选择每个要移除的用户旁边的复选框。
  6. 单击“移除”。

    7. 用户将从角色中移除。

将角色添加到策略

可以通过定义策略的主题将 Identity Server 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,参见管理策略

自定义角色的服务

可以基于各个角色自定义角色可用的服务,以及服务属性的访问级别。通过设置特定于角色的属性值,可以为角色自定义每个可用服务。还可以为每项服务授予访问权限并将其授予这些服务的属性。可能有些服务您仅希望由特定类型用户(例如管理器)访问。要实现这一目的,可将该服务指定给所有用户,但仅允许属于该角色的“管理器”类型访问特定服务。

向服务属性应用相同的逻辑。用户的帐户由多个属性组成,其中有些属性(例如帐户到期日期)用户无权进行访问。可以授予帐户管理员访问此属性的权限,但用户(帐户拥有者)不能。通过“浏览”窗格中角色的“服务”视图,可以自定义服务和属性访问权限。

必须首先在组织级别添加服务,才能显示这些服务。添加到角色的用户将继承该角色的服务属性。

配置服务
  1. 在角色的“服务”视图中,转到标有“用于该角色的服务配置”部分。
  2. 可通过单击服务名称旁边的“编辑”链接来选择允许角色访问的服务。

    3. 如果尚未创建服务模板,系统将提示您进行创建。单击“是”。

  3. 修改服务属性。有关特定服务属性的详细信息,参见本手册的第 3 部分属性参考指南
  4. 单击“保存”。

    		5.

    当对某项服务的访问被拒绝(未选中),将不会为拥有角色的用户在 Identity Server 控制台中显示该服务。另外,不能注册用户或撤消注册用户,不能将服务指定到用户,也不能创建、删除、查看或修改“服务”模板。

自定义属性访问
  1. 在角色的“服务”视图中,转到标有“用于该角色的服务访问权限”部分。
  2. 为要修改的服务选择启用或禁用状态。启用状态允许对访问进行修改。禁用状态不允许对访问进行修改。
  3. 单击“修改访问”链接。
  4. 通过选中“读/写”或“只读”复选框,为属性指定访问级别。
  5. 单击“保存”。

有关特定服务属性的详细信息,参见本手册的第 3 部分属性参考指南

  1. 单击“保存”。

将角色添加到策略

可以通过定义策略的主题将 Identity Server 对象添加到策略中。在创建或修改策略时,可以在策略的“主题”页面中将组织、角色、组和用户定义为主题。定义了主题后,策略将被应用到对象。有关详细信息,参见管理策略

删除角色

  1. 找到包含有要删除的角色的组织。
  2. 从“身份管理”模块的“查看”菜单中选择“组织”,然后从“浏览”窗格中选择组织。“位置”路径可以显示默认的顶级组织和选定的组织。
  3. 从“查看”菜单中选择“角色”。
  4. 选中角色名称旁边的复选框。
  5. 单击“删除”。

策略

策略定义用于保护组织的 Web 资源的规则。虽然策略的创建、修改和删除是通过“身份管理”模块来执行的,但是具体过程将在创建策略中进行说明。

代理

Identity Server 策略代理对 Web 服务器和 Web 代理服务器上的内容提供保护以防止未授权的侵入。它们基于管理员配置的策略来控制对服务和 Web 资源的访问。

代理对象用于定义“策略代理”配置文件,并允许 Identity Server 存储验证及其他有关保护 Identity Server 资源的特定代理的配置文件信息。通过 Identity Server 控制台,管理员可以查看、创建、修改和删除代理配置文件。

创建代理

  1. 找到包含有要创建的代理的组织。
  2. 从“查看”菜单中选择“代理”。
  3. 单击“新建”。
  4. 输入字段的值。仅“名称”是必需字段。这些字段包括:

    5. 名称。输入代理的名称或身份。此名称是代理用来登录 Identity Server 的名称。不接受多字节名称。

    口令。输入代理的口令。此口令必须与在 LDAP 验证过程中代理所使用的口令匹配。

    确认口令。确认口令。

    说明。输入代理的简短说明。例如,可以输入代理实例名称或其保护的应用程序的名称。

    代理关键字值。使用关键字/值对设置代理属性。Identity Server 使用此属性接收有关用户的证书声明的代理请求。通常仅一个属性有效,所有其他属性都将被忽略。请使用以下格式:

    agentRootURL=http://server_name:port/

    设备状态。输入代理的设备状态。如果设置为“有效”,则代理可以通过 Identity Server 进行验证并与其进行通信。如果设置为“无效”,则代理不能通过 Identity Server 进行验证。

  5. 单击“确定”。

删除代理

  1. 找到包含有要删除的代理的组织。
  2. 从“查看”菜单中选择“代理”。
  3. 选择代理名称旁边的复选框。
  4. 单击“删除”。

容器

当由于对象类和属性的不同而无法使用组织条目时,将使用容器条目。须注意,Identity Server 容器条目和 Identity Server 组织条目不必等同于 LDAP 对象类 organizationalUnitorganization,这一点很重要。它们是抽象的身份条目。理想情况下,将使用组织条目而不使用容器条目。

容器的显示是可选的。要查看容器,必须在“服务配置”模块中选择“在菜单中显示容器”。有关详细信息,参见在视图菜单中显示容器

创建容器

  1. 找到要在其中创建新容器的组织或容器。

    2. 从“查看”菜单中选择“容器”。

  2. 单击“新建”。

    3. “数据”窗格中将显示“容器”模板。

  3. 输入要创建的容器的名称。
  4. 单击“确定”。

    5. 通过从“查看”菜单中选择“显示选项”和“可用操作”,可以有选择性地对显示选项和可用操作进行配置。有关详细信息,参见本章最后的“显示选项”和“可用操作”。

删除容器

  1. 找到包含要删除容器的组织或容器。
  2. 从“查看”菜单中选择“容器”。
  3. 选中要删除的容器名称旁边的复选框。
  4. 单击“删除”。

    		5.

    删除容器会删除容器中存在的所有对象,包括所有对象和子容器。

用户容器

用户容器是默认的 LDAP 组织单位。在组织中创建用户时,所有的用户都将被分配给该容器。用户容器位于组织级别和用户容器级别(作为子用户容器)。它们只能包含其他用户容器和用户。如果需要,可以将其他用户容器添加到组织中。

用户容器的显示是可选的。要查看“用户容器”,必须在“服务配置”模块中选择“显示用户容器”。有关详细信息,参见显示用户容器

创建用户容器

  1. 找到要在其中创建新用户容器的组织或用户容器。

    2. 从“查看”菜单中选择“用户容器”。

  2. 单击“新建”。

    3. “数据”窗格中将显示“用户容器”模板。

  3. 输入要创建的用户容器的名称。
  4. 单击“确定”。

删除用户容器

  1. 找到包含要删除的用户容器的组织或用户容器。
  2. 从“查看”菜单中选择“用户容器”。
  3. 选中要删除的用户容器名称旁边的复选框。
  4. 单击“删除”。

    		5.

    删除用户容器会同时删除容器中存在的所有对象,包括所有用户和子用户容器。

组容器

组容器用于管理组。它只能包含组和其他组容器。组容器组会被动态指定为所有被管理的组的父项。如果需要,可以添加其他组容器。

组容器的显示是可选的。要查看组容器,必须在“服务配置”模块中选择“显示组容器”。有关详细信息,参见显示组容器

创建组容器

  1. 找到要在其中创建组容器的组织或组容器。
  2. 从“查看”菜单中选择“组容器”。

    3. 创建组织时会同时创建默认组。

  3. 单击“新建”。
  4. 在“名称”字段中输入值,然后单击“确定”。“浏览”窗格中将显示新创建的组容器。

删除组容器

  1. 找到包含要删除的组容器的组织。
  2. 从“查看”菜单中选择“组容器”。

    3. “浏览”窗格中将显示默认组和所有已创建的组容器。

  3. 选中要删除的组容器旁边的复选框。
  4. 单击“删除”。

显示选项

对于组织、角色和容器,可以使用“显示选项”视图自定义 Identity Server 对象在 Identity Server 控制台中的显示方式。并不是所有显示选项都可用于任意对象类型。

更改显示选项

  1. 单击要为其更改显示选项的组织的属性箭头。
  2. 从“数据”窗格的“查看”菜单中选择“显示选项”。
  3. 编辑“常规”部分的属性。这些属性包括:

    4. 生成全名属性。选择此属性可以使 Identity Server 始终生成用户的全名,它由用户配置文件中的名字和姓氏值构成。

    始终选择第一个条目。选择此属性用于搜索,可以在“浏览”窗格中自动选择第一个采用给定身份对象类型的项并将其显示在“数据”窗格中。

    “用户配置文件”页面的标题。从下拉菜单中选择用于“用户配置文件页面”标题的属性。

    禁用初始搜索。此值将禁用对一个或多个身份对象类型的初始 Identity Server 搜索。禁用初始搜索可能增强性能并降低发生超时错误的可能性。

  4. 在“Identity Server 目录对象的显示配置”部分中更改显示选项。可以在此部分自定义显示 Identity Server 容器和对象的方式。利用“Identity Server 目录容器”选项可以指定在“浏览”窗格的“查看”菜单中显示的对象视图。利用“Identity Server 目录对象”字段可以指定在“数据”窗格的“查看”菜单中显示的对象视图。
  5. 单击“保存”。

可用操作

对于某些 Identity Server 对象类型,可以通过“可用操作”视图来定义用户访问权限。

为用户设置可用操作

  1. 单击要为其设置可用操作的身份对象的属性箭头。
  2. 从“数据”窗格的“查看”菜单中选择“可用操作”。
  3. 选择可用于所有 Identity Server 对象的操作类型。操作类型定义用户对每个对象的访问能力。这些操作类型包括:

    4. 无权访问。用户无权访问此对象。

    查看。用户具有对此对象的只读访问权限。

    修改。用户可以修改和查看此对象。

    删除。用户可以修改、查看和删除此对象。

    完全访问。用户可以创建、修改、查看和删除此对象。

  4. 单击“保存”。要将这些值更改为其以前保存的状态,请单击“重置”。



上一页      目录      索引      下一页     

版权所有 2004 Sun Microsystems, Inc. 保留所有权利。