第 9 章 管理主旨
[主旨] 介面可在範圍內進行基本識別管理。您建立於 [主旨] 介面中的識別可用於以 Access Manager 識別物件類型建立之策略的主旨定義中。
您可以建立與修改的識別為:
使用者
使用者代表一個個別的識別。可於群組中建立與刪除使用者,並可由角色和/或群組新增或移除。您亦可對使用者指定服務。
建立或修改使用者
步驟
-
按一下 [使用者] 標籤。
-
按一下 [開啟新檔] 。
-
輸入下列欄位的資料:
使用者 ID。 此欄位採用其將登入 Access Manager 的使用者名稱。此特性可為非 DN 值。
名字。此欄位中採用使用者的名字。
姓氏。此欄位採用使用者的姓氏。
全名 — 此欄位採用使用者的全名。
密碼。— 此欄位中為 [使用者 ID] 欄位中所指定名稱的密碼。
密碼 (確認) — 確認密碼。
使用者狀態。此選項指出是否允許使用者透過 Access Manager 認證。
-
按一下 [建立]。
-
一旦建立了使用者,您可以按一下使用者名稱來編輯使用者資訊。如需使用者資訊,請參閱使用者屬性。您可執行的其他修改:
新增使用者至角色與群組
步驟
新增服務至一個識別
步驟
-
選取您要新增服務的識別。
-
按一下 [服務] 標籤。
-
按一下 [加入] 。
-
依據您所選取的識別類型,將顯示下列服務清單:
-
認證配置
-
探索服務
-
Liberty 個人設定檔服務
-
階段作業
-
使用者
-
-
選取您要新增的服務,並按 [下一步]。
-
編輯服務的屬性。如需有關服務的說明,請按一下步驟 4 中的服務名稱。
-
按一下 [完成]。
代理程式
Access Manager 策略代理程式會保護 Web 伺服器和 Web 代理伺服器上的內容,以避免未經授權的侵入。它們會根據管理員配置的策略,來控制對服務和 Web 資源的存取。
代理程式物件定義策略代理程式設定檔,可讓 Access Manager 儲存認證及其他有關保護 Access Manager 資源之特定代理程式的設定檔資料。經由 Access Manager 主控台,管理員可以檢視、建立、修改和刪除代理程式設定檔。
在代理程式物件建立頁面,可以對 Access Manager 認證代理程式定義 UID/密碼。若您具有使用相同的 Access Manager 的多重 AM/WS,您可以對不同代理程式啟用多重 ID,並由 Access Manager 個別地啟用與停用。您亦可集中管理代理程式的某些喜好設定值,而不是在每個機器上編輯 AMAgent.properties。
建立或修改代理程式
步驟
-
按一下 [代理程式] 標籤。
-
按一下 [開啟新檔] 。
-
輸入下列欄位值:
名稱。 輸入代理程式的名稱或識別。這是代理程式將用來登入到 Access Manager 的名稱。不接受多位元的名稱。
密碼。 輸入代理程式密碼。此密碼必須與 LDAP 認證期間代理程式所使用的密碼不同。
確認密碼。確認密碼。
裝置狀態。 輸入代理程式的裝置狀態。如果設定為 [作用中],則代理程式能夠認證進入並與 Access Manager 通訊。如果設定為 [非作用中],則代理程式無法認證進入 Access Manager。
-
按一下 [建立]。
-
一旦您建立了代理程式,您可以另外編輯下列欄位:
描述。 輸入代理程式的簡要描述。例如,您可以輸入代理程式實例名稱或其保護的應用程式名稱。
代理程式密鑰值。 以一個密鑰/值對設定代理程式特性。Access Manager 使用此特性來接收有關使用者憑證指定的代理程式請求。目前,僅有一個特性有效,且將忽略所有其他特性。請使用以下格式:
agentRootURL=http:// server_name:port/
建立唯一的策略代理程式識別
依預設,當您於信任的環境中建立多個策略代理程式時,策略代理程式包含相同的 UID 與密碼。因為共用 UID 與密碼,Access Manager 無法分辨代理程式,其使得階段作業保持開啟狀態可能被截取資訊。
當 [識別提供者] 提供有關為協力廠商或企業中未授權群組所開發的應用程式 (或 [服務提供者]) 之使用者的認證、授權與設定檔資訊時,此弱點可能顯現。可能的安全性問題是:
-
所有應用程式會共用相同的 http 階段作業 cookie。這樣有可能會使得惡意的應用程式奪取階段作業 cookie 並於另一個應用程式中假冒使用者。
-
若應用程式並未使用 https 協定,階段作業 cookie 容易遭到網路竊聽。
-
只要有一個應用程式可被奪取,整個基礎架構的安全性就有受到危害的風險。
-
惡意的應用程式可使用階段作業 cookie 來取得使用者的設定檔屬性並有可能進行修改。若使用者擁有管理權限,應用程式將可能造成更大的災害。
建立唯一的策略代理程式識別
步驟
-
使用 Access Manager 管理控制台為每個代理程式建立項目。
-
執行下列於建立代理程式期間輸入的密碼指令。應在安裝代理程式的主機上呼叫此命令。
AccessManager-base/SUNWam/agents/bin/crypt_util agent123
如此將提供下列輸出:
WnmKUCg/y3l404ivWY6HPQ==
-
變更 AMAgent.properties 以反映新值,然後重新啟動代理程式。範例:
# The username and password to use for the Application authentication module. com.sun.am.policy.am.username = agent123 com.sun.am.policy.am.password = WnmKUCg/y3l404ivWY6HPQ== # Cross-Domain Single Sign On URL # Is CDSSO enabled. com.sun.am.policy.agents.cdsso-enabled=true # This is the URL the user will be redirected to after successful login # in a CDSSO Scenario. com.sun.am.policy.agents.cdcservletURL = http://server.example.com:port /amserver/cdcservlet
-
變更安裝 Access Manager 所在的 AMConfig.properties 以反映新值,然後重新啟動 Access Manager。範例:
com.sun.identity.enableUniqueSSOTokenCookie=true com.sun.identity.authentication.uniqueCookieName=sunIdentityServerAuthNServer com.sun.identity.authentication.uniqueCookieDomain=.example.com
-
於 Access Manager 主控台中,選取 [配置] > [平台]。
-
在 [Cookie 網域] 清單中,變更 Cookie 網域名稱:
篩選的角色
篩選的角色是經由使用 LDAP 篩選器而建立的動態角色。建立角色時,所有使用者都會透過篩選器的篩選並指定給角色。篩選器會在項目中尋找任何屬性值對 (例如,ca=user*),並自動指定包含該屬性的使用者給角色。
建立篩選的角色
步驟
-
於 [瀏覽] 窗格中,跳至將建立角色的組織。
-
按一下 [開啟新檔] 。
-
輸入篩選角色的名稱。
-
輸入搜尋條件的資訊。
例如,
(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))
若篩選器依預設為空白,將建立下列角色:
(objectclass = inetorgperson)
-
按一下 [建立] 以根據篩選器條件初始搜尋。由篩選器條件定義的識別將自動地指定給角色。
-
一旦建立了篩選的角色,按一下角色名稱以檢視屬於角色的使用者。您亦可按一下 [服務] 標籤來新增服務至角色。
角色
角色的成員是角色的 LDAP 項目。角色自己的條件已定義為含屬性的 LDAP 項目,為項目的識別名稱 (DN) 屬性所辨識。一旦建立了角色,您可以手動新增服務與使用者。
建立或修改角色
步驟
新增使用者至角色或群組
步驟
群組
群組代表具有共同功能、特性或興趣的使用者集合。通常,此群組並無與之相關聯的權限。群組可以兩個層級存在;於組織內及於其他受管理群組內。
建立或修改群組
步驟
- © 2010, Oracle Corporation and/or its affiliates