Sun Java logo     上一頁      目錄      索引      下一頁     

Sun logo
Sun Java System Identity Server 2004Q2 管理指南 

第 4 章
識別管理

本章描述 Sun Java™ System Identity Server 2004Q2 之識別管理功能。識別管理模組介面用於檢視、管理和配置所有 Identity Server 物件和身份。本章包含以下各節:

Identity Server 主控台

Identity Server 主控台分為三個部分:位置窗格、導覽窗格與資料窗格。使用這三個框架,管理員可以導覽目錄、執行使用者配置和服務配置以及建立策略。

圖 4-1  Identity Server主控台

Identity Server 主控台:[標頭] 框架 (頂端)、[導覽] 框架 (左側)、[資料] 框架 (右側)

標頭窗格

標頭窗格位於主控台頂端。標頭窗格中的標籤可讓管理員在不同的管理模組檢視之間切換:

[位置] 欄位提供管理員在目錄樹中位置的路徑。該路徑作為導覽之用。

[歡迎] 欄位顯示正執行主控台之使用者的名稱,並具有至該使用者設定檔的連結。

[搜尋] 連結顯示一個可讓使用者搜尋特定 Identity Server 物件類別之項目的介面。請使用下拉式功能表選取物件類型並輸入搜尋字串。搜尋表格中會傳回結果。允許使用萬用字元。

[說明] 連結會開啟一個瀏覽器視窗,其中包含有關識別管理、目前階段作業、聯盟管理和本說明文件的第 IV 部分 (「屬性參考」) 資訊。

[登出] 連結可讓使用者登出 Identity Server。

導覽窗格

導覽窗格位於 Identity Server 主控台的左側部分。目錄物件部分 (在灰色方塊內) 顯示目前開啟的目錄物件之名稱及其 [特性] 連結。(導覽窗格中顯示的大多數物件均有相應的 [特性] 連結。選取此連結將會在右側的資料窗格中描繪項目的屬性。)[檢視] 功能表列出所選目錄物件下的目錄。根據子目錄數,系統會提供分頁機制。

資料窗格

資料窗格位於主控台的右側部分。此處可顯示並配置所有物件屬性及其值,並可為它們各自的群組、角色或組織選取項目。

提示

您可以按一下 [全部選取] 或 [全部取消選取] 圖示來選取所有項目或取消選取所有項目。

[全部選取] 和 [全部取消選取] 圖示

 

Identity Server 圖形使用者介面有兩個基本檢視。根據使用者登入的角色,可以存取 [識別管理] 檢視或 [使用者設定檔] 檢視。

[識別管理] 檢視

當具有管理角色的使用者被 Identity Server 認證時,預設檢視為 [識別管理] 檢視。在該檢視中管理員可以執行管理工作。根據管理員的角色,管理工作可包括建立、刪除和管理物件 (使用者、組織、策略等),以及配置服務。

圖 4-2  顯示有組織屬性之 [識別管理] 檢視

Identity Server 主控台 - 顯示有組織屬性之 [識別管理] 檢視。

使用者配置檔視區

當未被指定管理角色的使用者被 Identity Server 認證時,預設檢視為該使用者自己的 [使用者設定檔] 檢視。在此檢視中,使用者可以修改其個人設定檔的特定屬性值。這包括 (但不僅限於) 名稱、住家地址和密碼。[使用者設定檔] 檢視中顯示的屬性可以延伸。如需有關加入物件與身份之自訂屬性的更多資訊,請參閱「Identity Server Developer's Guide」。

屬性功能

若要檢視或修改項目的屬性,請按一下物件名稱旁邊的[特性] 箭頭。它的屬性和相應的值會顯示在 [資料] 窗格中。不同物件顯示不同屬性。

請參閱「Identity Server Developer's Guide」,以取得有關如何延伸項目的屬性的資訊。

圖 4-3  使用者配置檔視區

Identity Server 主控台 - [使用者設定檔] 檢視。

識別管理介面

識別管理介面允許建立和管理與身份有關的物件。使用 Identity Server 主控台或指令行介面可定義、修改或刪除使用者物件、角色物件、群組物件、策略物件、組織物件、子組織物件和容器物件等等。主控台具有預設管理員,他們擁有不同等級的權限,可用來建立和管理組織、群組、容器、使用者、服務和策略。(可基於角色建立其他管理員。)管理員是在 Directory Server 與 Identity Server 一同安裝時,在 Directory Server 內部定義的。

管理 Identity Server 物件

[使用者管理] 介面包含檢視和管理 Identity Server 物件 (組織、群組、使用者、服務、角色策略、容器物件與代理程式) 所需的所有元件。本節說明物件類型及有關如何配置它們的詳細資訊。

針對大多數的 Identity Server 物件類型,您可選擇性地配置 [顯示選項] 與 [可用動作],以顯示或隱藏 Web 介面在 Identity Server 主控台上的顯示方式。配置作業於組織及角色層級完成,使用者從其所屬組織及被指派的角色繼承配置。本章結尾有這些設定的說明。

機構

組織表示企業用來管理其部門與資源的階層式結構的頂層。在安裝過程中,Identity Server 會動態建立頂層組織 (安裝期間定義) 以管理 Identity Server 企業配置。安裝後可以建立其他組織以管理個別企業。所有建立的組織均位於頂層組織之下。

要建立組織

  1. 從識別管理模組中的 [檢視] 功能表選擇 [組織]。
  2. 在 [導覽] 窗格中按一下 [新建]。
  3. 輸入欄位的值。僅 [名稱] 是必需的。這些欄位包括:

    4. [名稱]。輸入組織名稱的值。

    [網域名稱]。輸入組織的完整網域名稱系統 (DNS) 名稱 (如果有)。

    [組織狀態]。選擇 [作用中][非作用中] 狀態。

    預設為 [作用中]。在組織存在期間,可以透過選取 [內容] 圖示隨時變更該狀態。如果選擇 [非作用中],則在登入組織時會停用使用者存取。

    [組織別名]。此欄位定義組織的別名,可讓您使用這些別名經由 URL 登入進行認證。例如,如果您有一個名為 exampleorg 的組織,並且將 123abc 定義為別名,則您可使用以下任一 URL 登入該組織:

    http://machine.example.com/UI/Login?org=exampleorg

    http://machine.example.com/UI/Login?org=abc

    http://machine.example.com/UI/Login?org=123

    組織別名在整個組織中必須是唯一的。您可以使用 [唯一屬性清單] 強制唯一性。

    [DNS 別名]。允許加入組織 DNS 名稱的別名。此屬性僅接受「實際的」網域別名 (不允許使用隨機字串)。例如,如果您有一個名為 example.com 的 DNS,並且將 example1.comexample2.com 定義成名為 exampleorg 之組織的別名,則您可使用以下任一 URL 登入該組織:

    http://machine.example.com/UI/Login?org=exampleorg

    http://machine.example1.com/UI/Login?=org=exampleorg

    http://machine.example2.com/UI/Login?org=exampleorg

    唯一屬性清單。允許您在組織中加入使用者的唯一屬性名稱清單。例如,如果您加入了指定電子郵件位址的唯一屬性名稱,則無法建立兩個具有相同電子郵件位址的使用者。此欄位還可以接受以逗號分隔的清單。清單中的任一屬性名稱均定義唯一性。例如,如果欄位包含以下屬性名稱清單:

    PreferredDomain, AssociatedDomain

    而且為特定使用者將 PreferredDomain 定義為 http://www.example.com,則對該 URL 此以逗號分隔的整個清單被定義為唯一的。

    系統強制所有子組織的唯一性。

  4. 按一下 [確定]。

    5. 新建的組織會顯示在 [導覽] 窗格中。若要編輯組織建立期間您定義的任一內容,請按一下您希望編輯之組織的 [特性] 箭頭,從 [資料] 窗格中的 [檢視] 功能表選取 [一般],並編輯該內容,然後按一下 [確定]。您可以使用 [顯示選項] 與 [ 可用的動作] 檢視以自訂 Identity Server 主控台的外觀並為向此組織進行認證的任何使用者指定運作方式。

要刪除組織

  1. 從識別管理的 [檢視] 功能表選擇 [組織]。

    2. 會顯示所有建立的組織。若要顯示特定組織,請輸入搜尋字串,然後按一下 [搜尋]。

  2. 選取要刪除的組織名稱旁邊的核取方塊。
  3. 按一下 [刪除]。

    4. 注意

    執行刪除時不會顯示警告訊息。組織中的所有項目將被刪除,且無法執行還原。

要將組織加入到策略

透過策略的主旨定義將 Identity Server 物件加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略 [主旨] 頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略

群組

群組表示具有共同功能、特性或興趣的使用者集合。通常,這種群組沒有關聯的權限。群組可以存在於兩個層級:組織中和其他受管理群組中。存在於其他群組中的群組稱為子群組。子群組是「實際上」存在於父系群組中的子節點。

Identity Server 還支援巢式群組,它是單一群組中所包含現有群組的「陳述」。與子群組相對,巢式群組可存在於 DIT 中的任意位置。它們可讓您為大量使用者快速設置存取權限。

建立群組時,您可以建立使用 [依訂閱確定成員身份] (靜態群組) 或 [依過濾確定成員身份] (過濾群組) 的群組。它控制將使用者加入群組的方式。僅可將使用者加入靜態群組動態群組透過過濾控制使用者的加入。然而,巢式群組或子群組既可以加入靜態群組,也可以加入動態群組。

靜態群組 (依訂閱確定成員身份)

依訂閱指定群組成員身份時,將基於指定的 [管理群組類型] 建立靜態群組。如果 [受管理群組類型] 的值為 [靜態],群組成員會使用 groupOfNamesgroupOfUniqueNames 物件類別加入群組項目中。如果 [受管理群組類型] 的值為 [動態],特定 LDAP 過濾器會用於僅搜尋並傳回包含 memberof 屬性的使用者項目。如需更多資訊,請參閱受管理群組類型

注意

依預設,受管理群組類型為動態。您可在管理服務配置中變更該預設。

已過濾群組 (依過濾確定成員身份)

過濾的群組是使用 LDAP 過濾器建立的動態群組。所有項目都會透過過濾器過濾並動態指定給群組。過濾器可尋找項目中的任一屬性,並傳回包含該屬性的項目。例如,如果要根據建立編號建立群組,可以使用過濾器傳回包含建立編號屬性的所有使用者的清單。

注意      

應該將 Identity Server 與 Directory Server 一起配置,以使用參考完整性外掛程式。啟用參考完整性外掛程式時,它會在刪除作業或重新命名作業之後,立即對指定的屬性執行完整性更新。這可確保在整個資料庫中維持相關項目之間的關係。資料庫索引可增強 Directory Server 中的搜尋效能。如需有關啟用此外掛程式的更多資訊,請參閱「Sun Java System Identity Server Migration Guide」。

建立靜態群組

  1. 導覽至將要建立群組的組織、群組或群組容器。
  2. 從 [檢視] 功能表選擇 [群組]。
  3. 按一下 [新建]。
  4. 從 [資料] 窗格中為群組類型選取 [依訂閱確定成員身份]。
  5. 在 [名稱] 欄位中輸入群組的名稱。按一下 [下一步]。
  6. 選取 [使用者可以訂閱該群組] 屬性以允許使用者自行訂閱群組。
  7. 如果您已在您的 DIT 中定義了多個群組容器並且未啟用 [顯示群組容器] 屬性 (來自管理服務),您可以選取靜態群組將要從屬的 [父系群組容器]。否則,不會顯示此欄位。
  8. 按一下 [完成]。

    9. 建立群組後,您可以透過從 [資料] 窗格的 [檢視] 功能表中選取 [一般] 來編輯 [使用者可以訂閱該群組] 屬性。

加入或移除靜態群組成員

  1. 按一下您將在其中加入成員的群組旁邊的 [特性] 箭頭。
  2. 在 [資料] 窗格中,選取 [檢視] 功能表中的 [成員]。

    3. 在 [選取動作] 功能表中選擇要執行的動作。您可以執行的動作如下所示:

    [新建使用者]。此動作建立新的使用者並在儲存該使用者資訊時將其加入群組。

    [加入使用者]。此動作將現有使用者加入群組。選取此動作時,您建立了將指定要加入之使用者的搜尋條件。用於建構條件的欄位使用 ANYALL 運算子。ALL 傳回所有指定欄位的使用者。ANY 傳回任一指定欄位的使用者。如果保留某欄位空白,則該欄位將符合該特定屬性的所有可能項目。從傳回的使用者清單中,選取您要加入的使用者,然後按一下 [確定]。

    [加入群組]。此動作將巢式群組加入目前群組。選擇此動作時,您建立了搜尋條件,包括搜尋範圍、群組名稱 (接受「*」萬用字元),並且您可以指定使用者是否可以自行訂閱群組。從傳回的群組清單中,選取您要加入的群組,然後按一下 [確定]。

    [移除成員]。此動作將從群組中移除成員,但不刪除它們。選取您要移除的成員,然後從動作功能表中選取[移除成員]。

    [刪除成員]。此動作將永久刪除您選取的成員。

建立過濾群組

  1. 導覽至將要建立群組的組織 (或群組)。
  2. 從 [檢視] 功能表選擇 [群組]。
  3. 按一下 [新建]。
  4. 從 [資料] 窗格中為群組類型選取 [依過慮確定成員身份]。
  5. 在 [名稱] 欄位中輸入群組的名稱。按一下 [下一步]。
  6. 建構 LDAP 搜尋過濾器。

    7. 依預設,Identity Server 顯示基本搜尋過濾器介面。用於建構過濾器的 [基本] 欄位使用 ANYALL 運算子。ALL 傳回所有指定欄位的使用者。ANY 傳回任一指定欄位的使用者。如果保留某欄位空白,則該欄位將符合該特定屬性的所有可能項目。

    或者,您可以選取 [進階] 按鈕以自行定義過濾器屬性。例如,

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    按一下 [完成] 後,符合搜尋條件的所有使用者將自動加入群組。

加入或移除過濾群組成員

  1. 按一下您將在其中加入成員的群組旁邊的 [特性] 箭頭。
  2. 在 [資料] 窗格中,選取 [檢視] 功能表中的 [成員]。

    3. 在 [選取動作] 功能表中選擇要執行的動作。您可以執行的動作如下所示:

    [加入群組]。此動作將巢式群組加入目前群組。選擇此動作時,您建立了搜尋條件,包括搜尋範圍、群組名稱 (接受「*」萬用字元),並且您可以指定群組是否允許使用者自行訂閱群組。從傳回的群組清單中,選取您要加入的群組,然後按一下 [確定]。

    [移除成員]。此動作將從群組中移除成員,但不刪除它們。選取您要移除的成員,然後按一下 [確定]。

    [刪除成員]。此動作將永久刪除您選取的成員。

要將群組加入到策略

透過策略的主旨定義將 Identity Server 物件加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略 [主旨] 頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略

使用者

使用者表示個別使用者的身份。透過 Identity Server 識別管理模組,您可以在組織、容器以及群組中建立和刪除使用者;在角色和/或群組中加入或移除使用者。您還可以將服務指定給使用者。

注意      

如果子組織內的使用者是以與 amadmin 相同的使用者 ID 建立,amadmin 的登入將失敗。如果發生這個問題,管理員應該透過 Directory Server 變更使用者的使用者 ID。如此可使管理員登入到預設組織中。此外,認證服務中的 「啟動使用者搜尋 DN」可以設為用戶容器 DN,以確保登入時傳回獨特的比對結果。

要建立使用者

  1. 導覽至要在其中建立使用者的組織、容器或用戶容器。
  2. 從 [檢視] 功能表選擇 [使用者]。
  3. 按一下 [新建]。

    4. 這會使 [新建使用者] 頁面顯示在 [資料] 窗格中。

  4. 選取要指定給使用者的服務。

    5. 顯示的服務僅為那些包含使用者屬性並已被加入使用者將從屬之組織的服務。按一下 [下一步]。

  5. 如果您已在您的 DIT 中定義了多個 (兩個以上) 群組容器並且未啟用 [顯示群組容器] 屬性 (來自管理服務),您可以從 [使用者建立] 頁面選取靜態群組將要從屬的 [用戶容器]。否則,不會顯示此欄位。
  6. 輸入必要屬性的值。

    7. 如需有關使用者設定檔屬性的資訊,請參閱使用者屬性

  7. 按一下 [確定]。

要將使用者加入到角色和群組

  1. 導覽至要修改的使用者所屬的組織。
  2. 從 [檢視] 功能表選擇 [使用者]。
  3. 在 [導覽] 窗格中,選取您希望修改的使用者,然後按一下 [特性] 箭頭。
  4. 從 [資料] 窗格的 [檢視] 功能表,選取 [角色] 或 [群組]。僅顯示已指定給使用者的角色和群組。按一下 [加入] 以查看可從中選擇的可用角色和群組清單。
  5. 選取您希望在其中加入使用者的角色或群組,然後按一下 [儲存]。

若要新增服務至使用者

  1. 導覽至要修改的使用者所屬的組織。
  2. 從 [導覽] 窗格中的 [檢視] 功能表選擇 [使用者]。
  3. 在 [導覽] 窗格中,選取您希望修改的使用者,然後按一下 [特性] 箭頭。
  4. 從 [資料] 窗格的 [檢視] 功能表,選取 [服務]。
  5. 按一下 [加入] 以選取要指定給使用者的服務。
  6. 按一下 [儲存]。

要刪除使用者

  1. 導覽至使用者所在的位置。
  2. 從 [檢視] 功能表選擇 [使用者]。
  3. 選取要刪除的使用者名稱旁邊的核取方塊。
  4. 按一下 [刪除]。

    5. 注意

    執行刪除作業之前不顯示警告訊息,並且此作業無法還原。

要將使用者加入到策略

透過策略的主旨定義將 Identity Server 物件加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略 [主旨] 頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱管理策略

服務

啟動組織或容器 (容器與組織的運作方式相同) 服務的程序包含兩個步驟。首先,需要將服務加入到組織。加入服務後,您必須配置專門為該組織配置的範本。如需其他資訊,請參閱第 5 章,「服務配置」

注意   

新服務必須首先透過指令行的 amadmin 匯入 Identity Server。如需有關匯入服務的 XML 模式之資訊,請參閱「Identity Server Developer's Guide」。

要加入服務

  1. 導覽至要加入服務的組織。

    2. 從識別管理模組的 [檢視] 功能表選擇 [組織],然後從 [導覽] 窗格選取該組織。位置路徑會顯示預設頂層組織與選擇的組織。

  2. 從 [檢視] 功能表選擇 [服務]。
  3. 按一下 [加入]。

    4. [資料] 窗格中會顯示可以加入到該組織的服務清單。

  4. 選取要加入的每個服務旁邊的核取方塊。
  5. 按一下 [確定]。已加入的服務會顯示在 [導覽] 窗格中。

    6. 注意

    只有加入到父系組織的服務才會在子組織層級顯示。

要建立服務的範本

  1. 導覽至加入的服務所屬的組織或角色。

    2. 從識別管理模組的 [檢視] 功能表選擇 [組織],然後從 [導覽] 窗格選取該組織。

  2. 從 [檢視] 功能表選擇 [服務]。
  3. 按一下要啟動的服務名稱旁邊的內容圖示。

    4. [資料] 窗格中會顯示訊息:目前沒有該服務的範本。現在要建立範本嗎?

  4. 請按一下 [是]。

    5. 即為父系組織或角色的該服務建立範本。[資料] 窗格中會顯示該服務的預設屬性和值。屬性參考中描述了預設服務的屬性。

  5. 接受或修改預設值,然後按一下 [儲存]。

要移除服務

  1. 導覽至要移除的服務所屬的組織。

    2. 從識別管理模組的 [檢視] 功能表選擇 [組織],然後從 [導覽] 窗格選取該組織。

  2. 從 [檢視] 功能表選擇 [服務]。
  3. 選取要移除的服務的核取方塊。
  4. 按一下 [移除]。

    5. 注意

    如果服務已在子組織層級註冊,則無法從父系組織層級移除。

角色

角色是與群組概念相似的 Directory Server 項目機制。群組具有成員;角色也具有成員。角色的成員是擁有角色的 LDAP 項目。角色本身的條件定義為具有屬性的 LDAP 項目,由該項目的 [識別名稱 (DN)] 屬性識別。Directory Server 具有大量不同類型的角色,但是 Identity Server 僅可管理其中的一種:受管理角色。

注意    

其他 Directory Server 角色類型仍可用於目錄部署;只是無法由 Identity Server 主控台來管理。其他 Directory Server 類型則可用於策略的主題定義。如需有關策略主題之更多資訊,請參閱建立策略

使用者可擁有一種或多種角色。例如,可以建立具有階段作業服務屬性和密碼重設服務屬性的承包人角色。新承包人啟動時,管理員可將該角色指定給他們,而不是在承包人項目中設定各自的屬性。若承包人在工程部門工作,且需要適用於工程員工的服務與存取權,那麼管理員可將承包人指派為工程角色與承包人角色。

Identity Server 使用角色來實施存取控制指令。初次安裝時,Identity Server 會配置定義管理員權限的存取控制指令 (ACI)。然後會在角色 (例如組織管理角色與組織說明桌面管理角色) 中指定這些 ACI,這些角色在指定給使用者時會定義使用者的存取權限。

只有在管理服務中啟用了 [顯示使用者角色] 屬性,使用者才可檢視指定給他們的角色。如需更多資訊,請參閱在使用者設定檔頁面上顯示角色

注意      

應該將 Identity Server 與 Directory Server 一起配置,以使用參考完整性外掛程式。啟用參考完整性外掛程式時,它會在刪除作業或重新命名作業之後,立即對指定的屬性執行完整性更新。這可確保在整個資料庫中維持相關項目之間的關係。資料庫索引可增強 Directory Server 中的搜尋效能。如需有關啟用此外掛程式的更多資訊,請參閱「Sun Java System Identity Server Migration Guide」。

與群組相似,角色可以透過過濾建立,或者以靜態方式建立。

靜態角色。與過濾的角色不同,靜態角色可以在建立角色時不加入使用者的情況下建立。這樣,在將特定使用者加入給定角色時,您可以進行更多控制。

過濾的角色。過濾的角色是使用 LDAP 過濾器建立的動態角色。在角色建立時,所有使用者都會透過過濾器過濾並指定給角色。過濾器會尋找項目中的任何屬性值對 (例如 ca=user*),並自動將包含屬性的使用者指定給角色。

要建立靜態角色

  1. 在 [導覽] 窗格中,移至要在其中建立角色的組織。
  2. 從 [檢視] 功能表選擇 [角色]。

    3. 配置組織時,預設角色集會被建立並顯示在 [導覽] 窗格中。預設角色為:

    容器說明桌面管理員。容器說明桌面管理員角色對組織單元中的所有項目均具有讀取存取權限,但是僅對此容器單元中使用者項目的 userPassword 屬性具有寫入存取權限。

    組織說明桌面管理員。組織說明桌面管理員具有對組織中所有項目的讀取存取權限,以及對 userPassword 屬性的寫入存取權限。

    注意

    建立子組織時,請記住在子組織中建立管理角色,而不是在父系組織中建立。

    容器管理員。容器管理員角色對 LDAP 組織單元中的所有項目均具有讀取寫入存取權限。在 Identity Server 中,LDAP 組織單元常指容器。

    組織策略管理員。組織策略管理員具有對所有策略的讀取寫入存取權限,可以建立、指定、修改和刪除此組織內的所有策略。

    用戶容器管理員。依預設,新建組織中的任何使用者項目均為該組織的用戶容器的成員。用戶容器管理員對組織的用戶容器中的所有使用者項目均具有讀取寫入存取權限。請記住,此角色對包含角色與群組 DN 的屬性「並不」具有讀取寫入存取權限,因此,它們不能修改角色或群組的屬性,也不能從中移除使用者。

    注意    

    可以透過 Identity Server 配置其他容器,使其具有使用者項目、群組項目甚至是其他容器。若要將管理員角色套用於配置組織後建立的容器,將會使用預設的容器管理員角色或容器說明桌面管理員。

    群組管理員。群組管理員對特定群組的所有成員均具有讀取寫入存取權限,可以建立新的使用者、將使用者指定給其管理的群組以及刪除已建立的使用者。

    建立群組時將自動產生群組管理員角色,其具有管理群組的必要權限。不會自動將此角色指定給群組成員。角色必須由群組建立者或任何具有群組管理員角色存取權限的人員指定。

    頂層管理員。頂層管理員對頂層組織中的所有項目均具有讀取寫入存取權限。換句話說,此頂層管理員角色具有 Identity Server 應用程式中每個配置主體所擁有的權限。

    組織管理員。組織管理員對組織中的所有項目均具有讀取寫入存取權限。建立群組時將自動產生組織管理員角色,其具有管理組織的必要權限。

  3. 在 [導覽] 窗格中按一下 [新建]。[新建角色] 範本會顯示在 [資料] 窗格中。
  4. 選取 [靜態角色],然後輸入名稱。按一下 [下一步]。
  5. 輸入角色的描述。
  6. 從 [類型] 功能表選擇角色類型。

    7. 角色可以為「管理」角色或「服務」角色。主控台使用角色類型決定在 Identity Server 主控台中啟動使用者的位置。管理角色會通知主控台,該角色的擁有者具有管理權限;服務角色會通知主控台,該擁有者為一般使用者。

  7. 從 [存取權限] 功能表,選擇預設的權限集以套用至該角色。具有這些權限,便可以存取組織中的項目。顯示的預設許可權未依特定順序排列。這些權限為:

    8. 無權限。對角色不設定權限。

    組織管理員。組織管理員對配置組織中的所有項目均具有讀取寫入存取權限。

    組織說明桌面管理員。組織說明桌面管理員具有對配置組織中所有項目的讀取存取權限,以及對 userPassword 屬性的寫入存取權限。

    組織策略管理員。組織策略管理員對組織中的所有策略均具有讀取寫入存取權限。組織策略管理員無法建立同級組織的參考策略。

    通常,「無權限 ACI」會指定給「服務」角色,而為「管理」角色指定任一預設 ACI。

  8. 按一下 [完成]。

    9. 建立的角色會顯示於 [導覽] 窗格中,而角色的狀態資訊顯示在 [資料] 窗格中。

    您可以透過在 [檢視] 功能表中選取 [顯示選項] 和 [可用動作] 選擇性地配置它們。如需更多資訊,請參閱本章結尾的「顯示選項」與「可用的動作」。

要將使用者加入到靜態角色

  1. 選取要修改的角色,然後按一下 [特性] 箭頭。
  2. 從 [資料] 窗格中的 [檢視] 功能表選擇 [使用者]。
  3. 按一下 [加入]。
  4. 輸入搜尋條件資訊。可以選擇基於一個或多個顯示的欄位搜尋使用者。這些欄位包括:

    5. [依據值傳回使用者]。允許您指定搜尋傳回的值。

    [相符]。允許您在希望過濾所包含的任何欄位中納入運算子。ALL 傳回所有指定欄位的使用者。ANY 傳回任一指定欄位的使用者。

    [使用者 ID]。依據使用者 ID 搜尋使用者。

    [名字]。依據其名字搜尋使用者。

    [姓氏]。依據其姓氏搜尋使用者。

    [全名]。依據其全名搜尋使用者。

    [使用者狀態]。依據其狀態 (作用中或非作用中) 搜尋使用者。

  5. 按一下 [下一步] 以開始搜尋。會顯示搜尋的結果。
  6. 透過選取使用者名稱旁邊的核取方塊,從傳回的名稱中選擇使用者。
  7. 按一下 [完成]。

    8. 使用者即會指定給角色。

建立過濾角色

  1. 在 [導覽] 窗格中,移至要在其中建立角色的組織。
  2. 從 [檢視] 功能表選擇 [角色]。

    3. 配置組織時,預設角色集會被建立並顯示在 [導覽] 窗格中。預設角色為:

    容器說明桌面管理員。容器說明桌面管理員角色對組織單元中的所有項目均具有讀取存取權限,但是僅對此容器單元中使用者項目的 userPassword 屬性具有寫入存取權限。

    組織說明桌面管理員。組織說明桌面管理員具有對組織中所有項目的讀取存取權限,以及對 userPassword 屬性的寫入存取權限。

    注意

    建立子組織時,請記住在子組織中建立管理角色,而不是在父系組織中建立。

    容器管理員。容器管理員角色對 LDAP 組織單元中的所有項目均具有讀取寫入存取權限。在 Identity Server 中,LDAP 組織單元常指容器。

    組織策略管理員。組織策略管理員具有對所有策略的讀取寫入存取權限,可以建立、指定、修改和刪除此組織內的所有策略。

    用戶容器管理員。依預設,新建組織中的任何使用者項目均為該組織的用戶容器的成員。用戶容器管理員對組織的用戶容器中的所有使用者項目均具有讀取寫入存取權限。請記住,此角色對包含角色與群組 DN 的屬性「並不」具有讀取寫入存取權限,因此,它們不能修改角色或群組的屬性,也不能從中移除使用者。

    注意    

    可以透過 Identity Server 配置其他容器,使其具有使用者項目、群組項目甚至是其他容器。若要將管理員角色套用於配置組織後建立的容器,將會使用預設的容器管理員角色或容器說明桌面管理員。

    群組管理員。群組管理員對特定群組的所有成員均具有讀取寫入存取權限,可以建立新的使用者、將使用者指定給其管理的群組以及刪除已建立的使用者。

    建立群組時將自動產生群組管理員角色,其具有管理群組的必要權限。不會自動將此角色指定給群組成員。角色必須由群組建立者或任何具有群組管理員角色存取權限的人員指定。

    頂層管理員。頂層管理員對頂層組織中的所有項目均具有讀取寫入存取權限。換句話說,此頂層管理員角色具有 Identity Server 應用程式中每個配置主體所擁有的權限。

    組織管理員。組織管理員對組織中的所有項目均具有讀取寫入存取權限。建立群組時將自動產生組織管理員角色,其具有管理組織的必要權限。

  3. 在 [導覽] 窗格中按一下 [新建]。[新建角色] 範本會顯示在 [資料] 窗格中。
  4. 選取 [過濾角色],然後輸入名稱。按一下 [下一步]。
  5. 輸入角色的描述。
  6. 從 [類型] 功能表選擇角色類型。

    7. 角色可以為「管理」角色或「服務」角色。主控台使用角色類型決定在 Identity Server 主控台中啟動使用者的位置。管理角色會通知主控台,該角色的擁有者具有管理權限;服務角色會通知主控台,該擁有者為一般使用者。

  7. 從 [存取權限] 功能表,選擇預設的權限集以套用至該角色。
  8. 具有這些權限,便可以存取組織中的項目。顯示的預設許可權未依特定順序排列。這些權限為:

    9. 無權限。對角色不設定權限。

    組織管理員。組織管理員對配置組織中的所有項目均具有讀取寫入存取權限。

    組織說明桌面管理員。組織說明桌面管理員具有對配置組織中所有項目的讀取存取權限,以及對 userPassword 屬性的寫入存取權限。

    組織策略管理員。組織策略管理員對組織中的所有策略均具有讀取寫入存取權限。組織策略管理員無法建立同級組織的參考策略。

    通常,「無權限 ACI」會指定給「服務」角色,而為「管理」角色指定任一預設 ACI。

  9. 輸入搜尋條件資訊。這些欄位包括:

    10. [相符]。允許您在希望過濾所包含的任何欄位中納入運算子。ALL 傳回所有指定欄位的使用者。ANY 傳回任一指定欄位的使用者。

    [使用者 ID]。依據使用者 ID 搜尋使用者。

    [名字]。依據其名字搜尋使用者。

    [姓氏]。依據其姓氏搜尋使用者。

    [全名]。依據其全名搜尋使用者。

    [使用者狀態]。依據其狀態 (作用中或非作用中) 搜尋使用者。

    或者,您可以選取 [進階] 按鈕以自行定義過濾器屬性。例如,

    (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

    按一下 [重設] 以清除過濾器內容,或者按一下 [取消] 以取消角色建立程序。

  10. 按一下 [完成] 以基於過濾條件開始搜尋。過濾條件所定義的使用者會自動指定給角色。

    11. 您可以透過在 [檢視] 功能表中選取 [顯示選項] 和 [可用動作] 選擇性地配置它們。如需更多資訊,請參閱本章結尾的「顯示選項」與「可用的動作」。

    注意

    可以透過 [角色設定檔] 頁面和/或 [使用者設定檔] 頁面將使用者加入靜態角色。

要從角色移除使用者

  1. 導覽至包含要修改之角色的組織。

    2. 從識別管理模組的 [檢視] 功能表選擇 [組織],然後從 [導覽] 窗格選取該組織。

  2. 從 [檢視] 功能表選擇 [角色]。
  3. 選取要修改的角色。
  4. 從 [檢視] 功能表選擇 [使用者]。
  5. 選取要移除的每個使用者旁邊的核取方塊。
  6. 按一下 [移除]。

    7. 使用者即會從角色中移除。

要將角色加入到策略

透過策略的主旨定義將 Identity Server 物件加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略 [主旨] 頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱「管理策略」。

自訂角色的服務

可以基於各個角色自訂角色可用的服務,以及服務屬性的存取層級。透過設定特定角色的屬性值可為角色自訂每一個可用的服務。您還可以授與對每個服務和服務屬性的存取權限。您可能會希望僅由特定的使用者類型 (如管理員) 存取某些服務。要實現此目的,請將服務指定給所有使用者,但只有從屬於該角色的管理員類型才可以存取特定的服務。

同樣的邏輯也適用於服務屬性。使用者的帳戶由多個屬性組成,使用者可能會被禁止存取其中的某些屬性,例如帳戶過期日期。可以授與帳戶管理員對此屬性的存取權限,但不授與使用者 (帳戶所有者) 此權限。透過 [導覽] 窗格中角色的 [服務] 檢視完成自訂服務和屬性存取。

為了顯示服務,您必須首先在組織層級加入服務。加入到角色的使用者將繼承角色的服務屬性。

配置服務
  1. 在角色的 [服務] 檢視中,移至標為 [此角色的服務配置] 的區段。
  2. 透過按一下服務名稱旁邊的 [編輯] 連結選擇要為角色授與的服務。

    3. 如果您尚未建立服務範本,系統將提示您建立。請按一下 [是]。

  3. 修改服務屬性。如需有關特定服務屬性的更多資訊,請參閱本使用手冊的第 3 部分「屬性參考指南」。
  4. 按一下 [儲存]。

    5. 注意     

    當對某項服務的存取遭到拒絕時 (未核取),系統將不會在 Identity Server 主控台中為擁有該角色的使用者顯示該服務。另外,不能註冊或取消註冊使用者,不能指定使用者的服務,也不能建立、刪除、檢視或修改 [服務] 範本。

自訂屬性存取
  1. 在角色的 [服務] 檢視中,移至標為 [此角色的服務存取] 的區段。
  2. 為您要修改的服務選擇啟用或停用狀態。啟用將允許您存取修改。停用將禁止您存取修改。
  3. 按一下 [修改存取] 連結。
  4. 透過選取 [讀取/寫入] 或 [唯讀] 核取方塊指定屬性的存取層級。
  5. 按一下 [儲存]。

如需有關特定服務屬性的更多資訊,請參閱本使用手冊的第 3 部分「屬性參考指南」。

  1. 按一下 [儲存]。

要將角色加入到策略

透過策略的主旨定義將 Identity Server 物件加入策略。當建立或修改策略時,可以將組織、角色、群組及使用者定義為策略 [主旨] 頁面中的主旨。一旦定義了主旨,策略即會套用於物件。如需更多資訊,請參閱「管理策略」。

要刪除角色

  1. 導覽至包含要刪除之角色的組織。
  2. 從識別管理的 [檢視] 功能表選擇 [組織],然後從 [導覽] 窗格選取該組織。位置路徑會顯示預設頂層組織與選擇的組織。
  3. 從 [檢視] 功能表選擇 [角色]。
  4. 選取角色名稱旁邊的核取方塊。
  5. 按一下 [刪除]。

策略

策略會定義規則,以幫助保護組織的網路資源。雖然可以透過識別管理模組來建立、修改和刪除策略,建立策略中仍描述了其程序。

代理程式

Identity Server 策略代理程式可防止 Web 伺服器和 Web 代理伺服器上的內容受到未經授權的侵入。它們基於管理員配置的策略控制對服務和網路資源的存取。

代理程式物件定義策略代理程式設定檔,並可讓 Identity Server 儲存有關保護 Identity Server 資源之特定代理程式的認證和其他設定檔資訊。透過 Identity Server 主控台,管理員可以檢視、建立、修改和刪除代理程式設定檔。

建立代理程式

  1. 導覽至包含要建立之代理程式的組織。
  2. 從 [檢視] 功能表選擇 [代理程式]。
  3. 按一下 [新建]。
  4. 輸入欄位的值。僅 [名稱] 是必需的。這些欄位包括:

    5. [名稱]。輸入代理程式的名稱或身份。這是代理程式將用來登入 Identity Server 的名稱。不接受多位元名稱。

    [密碼]。輸入代理程式密碼。此密碼必須與 LDAP 認證期間代理程式使用的密碼相符。

    [確認密碼]。確認密碼。

    [描述]。輸入代理程式的簡要描述。例如,您可以輸入代理程式實例名稱或它所保護之應用程式的名稱。

    [代理程式關鍵字值]。使用關鍵字/值對設定代理程式內容。此特性由 Identity Server 用來接收有關使用者憑證假設的代理程式請求。目前,僅一個特性有效,所有其他特性將被忽略。請使用以下格式:

    agentRootURL=http://server_name:port/

    [裝置狀態]。輸入代理程式的裝置狀態。如果設定為 [作用中],代理程式將能夠向 Identity Server 進行認證並與之通訊。如果設定為 [非作用中],代理程式將不能向 Identity Server 進行認證。

  5. 按一下 [確定]。

要刪除代理程式

  1. 導覽至包含要刪除之代理程式的組織。
  2. 從 [檢視] 功能表選擇 [代理程式]。
  3. 選取代理程式名稱旁邊的核取方塊。
  4. 按一下 [刪除]。

容器

當由於物件類別與屬性的差異而無法使用組織項目時,將使用容器項目。請切記,Identity Server 容器項目與 Identity Server 組織項目不必等同於 LDAP 物件類別 organizationalUnitorganization。它們是抽象的 Identity 項目。理想情況下,將使用組織項目而不是容器項目。

注意   

容器的顯示是選擇性的。若要檢視容器,必須在 [服務配置] 模組中選取 [在功能表中顯示容器]。如需更多資訊,請參閱在檢視功能表中顯示容器

要建立容器

  1. 導覽至要在其中建立新容器的組織或容器。

    2. 從 [檢視] 功能表選取 [容器]。

  2. 按一下 [新建]。

    3. [容器] 範本會顯示在 [資料] 窗格中。

  3. 輸入要建立的容器之名稱。
  4. 按一下 [確定]。

    5. 您可以透過在 [檢視] 功能表中選取 [顯示選項] 和 [可用的動作] 選擇性地配置它們。如需更多資訊,請參閱本章結尾的「顯示選項」與「可用的動作」。

要刪除容器

  1. 導覽至包含要刪除容器的組織或容器。
  2. 從 [檢視] 功能表選擇 [容器]。
  3. 選取要刪除的容器名稱旁邊的核取方塊。
  4. 按一下 [刪除]。

    5. 注意

    刪除一個容器將會同時刪除該容器中存在的所有物件。包含所有物件和子容器。

用戶容器

用戶容器是預設的 LDAP 組織單元。在組織中建立使用者時,所有使用者均會指定給該容器。可以在組織層級和用戶容器層級找到用戶容器 (作為子用戶容器)。它們僅可包含其他用戶容器與使用者。如果需要,可以將附加用戶容器加入組織。

注意   

用戶容器的顯示是選擇性的。若要檢視用戶容器,必須在 [服務配置] 模組中選取 [顯示用戶容器]。如需更多資訊,請參閱顯示用戶容器

建立用戶容器

  1. 導覽至要在其中建立新用戶容器的組織或用戶容器。

    2. 從 [檢視] 功能表選取 [用戶容器]。

  2. 按一下 [新建]。

    3. [用戶容器] 範本會顯示在 [資料] 窗格中。

  3. 輸入要建立的用戶容器名稱。
  4. 按一下 [確定]。

刪除用戶容器

  1. 導覽至包含要刪除的用戶容器之組織或用戶容器。
  2. 從 [檢視] 功能表選擇 [用戶容器]。
  3. 選取要刪除的用戶容器名稱旁邊的核取方塊。
  4. 按一下 [刪除]。

    5. 注意

    刪除一個用戶容器將會同時刪除該用戶容器中存在的所有物件。包含所有使用者和子用戶容器。

群組容器

群組容器用於管理群組。它僅可包含群組與其他群組容器。群組容器「群組」會動態指定為所有受管理群組的父系項目。如果需要,可以加入附加群組容器。

注意   

群組容器的顯示是選擇性的。若要檢視群組容器,必須在 [服務配置] 模組中選取 [顯示群組容器]。如需更多資訊,請參閱顯示群組容器

要建立群組容器

  1. 導覽至包含要建立的群組容器之組織或群組容器。
  2. 從 [檢視] 功能表選擇 [群組容器]。

    3. 組織建立期間將建立預設「群組」。

  3. 按一下 [新建]。
  4. 在 [名稱] 欄位中輸入值,然後按一下 [確定]。新建群組容器會顯示在 [導覽] 窗格中。

要刪除群組容器

  1. 導覽至包含要刪除的群組容器之組織。
  2. 從 [檢視] 功能表選擇 [群組容器]。

    3. 預設群組容器「群組」及所有建立的群組容器會顯示在 [導覽] 窗格中。

  3. 選取要刪除的群組容器旁邊的核取方塊。
  4. 按一下 [刪除]。

顯示選項

對於組織、角色及容器,您可以使用 [顯示選項] 檢視以自訂在 Identity Server 主控台中顯示 Identity Server 物件的方式。並非所有的顯示選項都可用於所有物件類型。

變更顯示選項

  1. 按一下您要為其變更顯示選項之組織的 [特性] 箭頭。
  2. 從 [資料] 窗格中的 [檢視] 功能表選取 [顯示選項]。
  3. 編輯 [一般] 區段中的內容。這些特性包括:

    4. [產生全名屬性]。選取此屬性以使 Identity Server 始終產生使用者的全名,它由使用者設定檔中的名字值和姓氏值形成。

    [始終選取第一個項目]。為搜尋選取此屬性,使它可以自動選取 [導覽] 窗格中給定身份物件類型的第一個項目並將其顯示在 [資料] 窗格中。

    [使用者設定檔頁面標題]。從此下拉式功能表中選擇要用於 [使用者設定檔] 頁面中標題的屬性。

    [停用初始搜尋]。此值將停用 Identity Server 對一個或多個身份物件類型的初始搜尋。停用初始搜尋可提昇效能並減少逾時錯誤的可能性。

  4. 變更 [Identity Server 目錄物件的顯示配置] 區段中的顯示選項。此區段允許您自訂顯示 Identity Server 容器和物件的方式。[Identity Server 目錄容器] 選項允許您指定在 [導覽] 窗格的 [檢視] 功能表中所顯示的物件檢視。[Identity Server 目錄物件] 欄位允許您指定在 [資料] 窗格的 [檢視] 功能表中所顯示的物件檢視。
  5. 按一下 [儲存]。

可用的動作

對於某些 Identity Server 物件類型,您可以透過 [可用動作] 檢視定義使用者存取權限。

為使用者設定可用動作

  1. 按一下您將為其設定可用動作之 Identity 物件的 [特性] 箭頭。
  2. 從 [資料] 窗格中的 [檢視] 功能表選取 [可用動作]。
  3. 選擇任何 Identity Server 物件可用的動作類型。動作類型定義使用者對每個物件的存取權限。這些動作類型包括:

    4. [禁止存取]。使用者沒有對此物件的存取權限。

    [檢視]。使用者擁有對此物件的唯讀存取權限。

    [修改]。使用者可以修改和檢視此物件。

    [刪除]。使用者可以修改、檢視和刪除此物件。

    [完全存取]。使用者可以建立、修改、檢視和刪除此物件。

  4. 按一下 [儲存]。若要變更它們先前儲存狀態的值,請按一下 [重設]。



上一頁      目錄      索引      下一頁     

Copyright 2004 Sun Microsystems, Inc. 版權所有。