此版本的新增功能

如需 Access Manager 修補程式版本的新增功能清單，請參閱Access Manager 7 2005Q4 修補程式版本。Access Manager 7 2005Q4 的初期測試版包含下列新增功能：

• Access Manager 模式

• 新的 Access Manager 主控台

• 識別儲存庫

• Access Manager 資訊樹

• 階段作業容錯移轉變更

• 階段作業特性變更通知

• 階段作業配額限制

• 分散式認證

• 多重認證模組實例支援

• 認證「已命名配置」或「鏈接」名稱空間

• 策略模組增強功能

• 站點配置

• 大量聯合

• 記錄增強功能

Access Manager 模式

Access Manager 7 2005Q4 包含「範圍」模式與「舊有」模式。兩種模式皆支援：

• Access Manager 7 2005Q4 的新增功能

• Access Manager 6 2005Q1 功能，但是有以下限制：

  • 已建立範圍，但未在 Sun Java System Directory Server 中建立對應的組織。

  • 新的 Access Manager 7 2005Q4 主控台無法設定「服務類別 (CoS)」範本優先權。請參閱新的 Access Manager 主控台無法設定 CoS 範本優先權 (6309262)。

• Sun Java System Directory Server 的識別儲存庫及其他資料儲存區

以下情形必須使用「舊有」模式：

• Sun Java System Portal Server

• Sun Java System Communication Services 伺服器，包括 Messaging Server、Calendar Server、Instant Messaging 或 Delegated Administrator

• Access Manager 6 2005Q1 與 Access Manager 7 2005Q4 存取同一個 Directory Server 時，不同部署共存的情形

新的 Access Manager 主控台

Access Manager 主控台已針對此版本進行了重新設計。但是，如果 Access Manager 與 Portal Server、Messaging Server、Calendar Server、Instant Messaging 或 Delegated Administrator 共同部署，則必須於「舊有」模式下安裝 Access Manager 並使用 Access Manager 6 2005Q1 主控台：

如需更多資訊，請參閱相容性問題。

識別儲存庫

Access Manager 識別儲存庫包含與使用者、群組及角色等身份識別相關的資訊。您可使用 Access Manager 或其他佈建產品，如 Sun Java System Identity Manager 來建立和維護識別儲存庫。

在目前的版本中，識別儲存庫可以位在 Sun Java System Directory Server 或 Microsoft Active Directory 之中。Access Manager 可具有對識別儲存庫的讀取/寫入存取權或唯讀存取權。

Access Manager 資訊樹

Access Manager 資訊樹包含與系統存取相關的資訊。每個 Access Manager 實例都會在 Sun Java System Directory Server 中分別建立與維護一個資訊樹。一個 Access Manager 資訊樹可具有任何名稱 (字尾)。Access Manager 資訊樹包含範圍 (必要時也包含子範圍)，下面的小節將進行說明。

Access Manager 範圍

範圍和任何的子範圍都是 Access Manager 資訊樹的一部分，包含下列定義使用者集與/或群組的配置資訊：使用者認證方式、使用者可以存取的資源以及核准使用者存取資源後應用程式可用的資訊。範圍或子範圍也可包含其他配置資訊，其中包括：全域配置、密碼重設配置、階段作業配置、主控台配置及使用者喜好設定。範圍或子範圍可以為空。

您可使用 Access Manager 主控台或 amadmin CLI 公用程式來建立範圍。如需更多資訊，請參閱主控台線上說明，或「Sun Java System Access Manager 7 2005Q4 管理指南」中的第 14 章「amadmin 指令行工具」。

階段作業容錯移轉變更

Access Manager 提供一個 Web 容器的獨立階段容錯移轉備用實作，其中以 Sun Java System Message Queue (Message Queue) 做為通訊代理程式，以 Sleepycat Software, Inc. 開發的 Berkeley DB 做為階段作業儲存資料庫。Access Manager 7 2005Q4 的增強功能包括：配置階段作業容錯移轉環境的 amsfoconfig 程序檔、啟動及停止 Message Queue 代理程式與 Berkeley DB 用戶端的 amsfo 程序檔。

如需更多資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide」中的「Implementing Access Manager Session Failover」。

階段作業特性變更通知

階段作業特性變更通知功能可讓 Access Manager 於特定階段作業特性發生變更時，傳送通知給特定偵聽程式。在 Access Manager 管理員主控台中啟用 [啟用特性變更通知] 屬性時，此功能便生效。例如，在單次登入 (Single Sign-On, SSO) 環境中，多個應用程式可以共用一個 Access Manager 階段作業。當 [通知特性] 清單中定義的特定階段作業特性發生變更時，Access Manager 就會傳送通知給所有已註冊的偵聽程式。

如需更多資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide」中的「Enabling Session Property Change Notifications」。

階段作業配額限制

階段作業配額限制功能可讓 Access Manager 管理員 (amadmin) 設定 [使用中的使用者階段作業] 屬性，以限制允許使用者使用的最大同步運作階段作業數。管理員可在全域層級設定所有使用者的階段作業配額限制，或設定僅適用於一或數位特定使用者之單一實體，如組織、範圍、角色或使用者的階段作業配額限制。

依預設，會停用階段作業配額限制 (「關閉」)，但管理員可將 Access Manager 管理員主控台的 [啟用配額限制] 屬性設定為啟用，來啟用它們。

若使用者用盡階段作業限制配額，管理員也可將 [若用盡階段作業的配額將導致] 屬性設為以下值，來配置配額用盡時要進行的動作：

• DENY_ACCESS。Access Manager 會拒絕登入新階段作業的請求。

• DESTROY_OLD_SESSION。Access Manager 會刪除同一位使用者的下一個即將到期之現有階段作業，並接受新的登入請求繼續作業。

[免除頂層管理員的限制檢查] 屬性會指定階段作業限制配額是否適用於具「頂層管理員角色」的管理員。

如需更多資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide」中的「Setting Session Quota Constraints」

分散式認證

Access Manager 7 2005Q4 包含分散式認證 UI，這是一個遠端認證 UI 元件，可在部署中提供跨越兩道防火牆之安全的分散式認證。若沒有分散式認證 UI 元件，Access Manager 服務 URL 會曝露在一般使用者之前。要避免曝露在一般使用者之前，可使用代理伺服器；然而，在許多部署中，代理伺服器不是可接受的解決方案。

分散式認證 UI 元件是安裝在 Access Manager 部署的非安全 (DMZ) 層中一或數個伺服器上。分散式認證 UI 伺服器不會執行 Access Manager；它僅用來提供透過 Web 瀏覽器的認證介面給一般使用者。

一般使用者傳送 HTTP 請求至分散式認證 UI，此介面會先傳送登入頁面給使用者。然後分散式認證元件會經由第二道防火牆將使用者的請求傳送給 Access Manager 伺服器，免除了在一般使用者和 Access Manager 伺服器防火牆之間打開通道的需要。

如需更多資訊，請參閱「Technical Note: Using Access Manager Distributed Authentication」。

多重認證模組實例支援

所有認證模組 (預設配置) 均已延伸為支援能支援主控台 UI 的子模式。針對每個模組類型 (已載入的模組類別) 分別可以建立多個認證模組實例。例如，對 LDAP 模組類型之名稱為 ldap1 與 ldap2 的實例而言，每個實例均可指向不同的 LDAP 目錄伺服器。其名稱與類型名稱相同的模組實例具備向下相容性。其呼叫方法為：

server_deploy_uri/UI/Login?module=module-instance-name

認證「已命名配置」或「鏈接」名稱空間

單獨的名稱空間是建立在組織/範圍之下，是認證模組實例的鏈接。相同鏈接可重複使用，並指定給組織/範圍、角色或使用者。「認證服務」實例等同於「認證鏈」。其呼叫方法為：

server_deploy_uri/UI/Login?service=authentication-chain-name

策略模組增強功能

個人化屬性

除了「規則」、「主體」及「條件」以外，現在策略也有個人化屬性 (IDResponseProvider)。從策略評估傳送至用戶端的策略決定現在包括適用策略中的基於策略的回應個人化屬性。受支援的個人化屬性類型有以下兩種：

• 靜態屬性。在策略中定義屬性名稱與值。

• 動態屬性。在策略中列示屬性名稱，於評估策略時從「識別儲存庫」資料儲存區擷取值。

「策略執行點 (代理程式)」通常會將這些屬性值以 HTTP 標頭、Cookie 或請求屬性的形式轉遞至受保護的應用程式。

Access Manager 7 2005Q4 不支援客戶自行實作的「回應提供者」介面。

階段作業特性條件

階段作業特性條件實作 (SessionPropertyCondition ) 會根據使用者的 Access Manager 階段作業中設定之特性值，決定策略是否適用於某個請求。評估策略時，只有在使用者的 Access Manager 階段作業之每個特性值於條件中皆有定義時，條件才會傳回「true」。若條件中將特性定義為具多重值，則條件中只需列出使用者階段作業特性的一個值便已足夠。

策略主體

策略主體實作 (Access Manager 識別主體) 允許您使用已配置識別儲存庫中的項目做為策略主體值。

策略匯出

您可使用 amadmin 指令，以 XML 格式將策略匯出。amAdmin.dtd 檔案中的新元素 GetPolices 與 RealmGetPolicies 支援此功能。

策略狀態

現在策略具有狀態屬性，可將其設為使用中或非使用中。策略評估時會忽略非使用中的策略。

站點配置

Access Manager 7 2005Q4 引進了「站點概念」，可提供對 Access Manager 部署的集中式配置管理。將 Access Manager 配置為站點時，用戶端請求一律會通過負載平衡器，如此可簡化部署程序並解決如用戶端和後端 Access Manager 伺服器之間防火牆阻隔的問題。

如需更多資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Deployment Planning Guide」中的「Configuring an Access Manager Deployment as a Site」。

大量聯合

Access Manager 7 2005Q4 對外包給企業合作夥伴的應用程式提供大量聯合使用者帳號之功能。之前，服務提供者 (SP) 與識別提供者 (IDP) 間帳號的聯合需要每位使用者分別存取 SP 與 IDP 的站點、建立帳號 (若尚未建立)、然後透過 Web 連結將兩個帳號聯合起來。如此的處理程序非常耗時。而且對現有帳號的部署或對將本身當作識別提供者，或使用其夥伴之一做為認證提供者的站點而言，不一定都適合此方式。

如需更多資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Federation and SAML Administration Guide」。

記錄增強功能

Access Manager 7 2005Q4 包含數個新的記錄增強功能：

• 新增欄位 (或欄)：MessageID 欄位內含已記錄事件的訊息識別碼。ContextID 欄位內含內容識別碼，其類似階段作業識別碼，會套用至特定使用者登入階段作業的所有事件。對使用者的特定登入階段作業而言，已記錄事件的所有記錄檔之 ContextID 均相同。

• 記錄 API。API 包含了讀取記錄檔記錄的新增功能，如果已配置資料庫 (DB) 記錄時，也包括讀取 DB 的記錄。請參考 /opt/SUNWam/samples/logging 目錄下的 LogReaderSample.java，其會顯示從平面檔案或 DB 表格儲存庫擷取記錄檔記錄的方法。

---

注意 –

資料庫表格會比平面檔案記錄大。因此，請不要在請求中要求擷取資料庫表格內的所有記錄，因為資料數量過大，會消耗所有 Access Manager 伺服器資源。

---