代理程式

Access Manager 策略代理程式會保護 Web 伺服器和 Web 代理伺服器上的內容，以避免未經授權的侵入。它們會根據管理員配置的策略，來控制對服務和 Web 資源的存取。

代理程式物件定義策略代理程式設定檔，可讓 Access Manager 儲存認證及其他有關保護 Access Manager 資源之特定代理程式的設定檔資料。經由 Access Manager 主控台，管理員可以檢視、建立、修改和刪除代理程式設定檔。

在代理程式物件建立頁面，可以對 Access Manager 認證代理程式定義 UID/密碼。若您具有使用相同的 Access Manager 的多重 AM/WS，您可以對不同代理程式啟用多重 ID，並由 Access Manager 個別地啟用與停用。您亦可集中管理代理程式的某些喜好設定值，而不是在每個機器上編輯 AMAgent.properties。

建立或修改代理程式

步驟

1. 按一下 [代理程式] 標籤。

2. 按一下 [開啟新檔] 。

3. 輸入下列欄位值：

   名稱。 輸入代理程式的名稱或識別。這是代理程式將用來登入到 Access Manager 的名稱。不接受多位元的名稱。

   密碼。 輸入代理程式密碼。此密碼必須與 LDAP 認證期間代理程式所使用的密碼不同。

   確認密碼。確認密碼。

   裝置狀態。 輸入代理程式的裝置狀態。如果設定為 [作用中]，則代理程式能夠認證進入並與 Access Manager 通訊。如果設定為 [非作用中]，則代理程式無法認證進入 Access Manager。

4. 按一下 [建立]。

5. 一旦您建立了代理程式，您可以另外編輯下列欄位：

   描述。 輸入代理程式的簡要描述。例如，您可以輸入代理程式實例名稱或其保護的應用程式名稱。

   代理程式密鑰值。 以一個密鑰/值對設定代理程式特性。Access Manager 使用此特性來接收有關使用者憑證指定的代理程式請求。目前，僅有一個特性有效，且將忽略所有其他特性。請使用以下格式：

   agentRootURL=http:// server_name:port/

建立唯一的策略代理程式識別

依預設，當您於信任的環境中建立多個策略代理程式時，策略代理程式包含相同的 UID 與密碼。因為共用 UID 與密碼，Access Manager 無法分辨代理程式，其使得階段作業保持開啟狀態可能被截取資訊。

當 [識別提供者] 提供有關為協力廠商或企業中未授權群組所開發的應用程式 (或 [服務提供者]) 之使用者的認證、授權與設定檔資訊時，此弱點可能顯現。可能的安全性問題是：

• 所有應用程式會共用相同的 http 階段作業 cookie。這樣有可能會使得惡意的應用程式奪取階段作業 cookie 並於另一個應用程式中假冒使用者。

• 若應用程式並未使用 https 協定，階段作業 cookie 容易遭到網路竊聽。

• 只要有一個應用程式可被奪取，整個基礎架構的安全性就有受到危害的風險。

• 惡意的應用程式可使用階段作業 cookie 來取得使用者的設定檔屬性並有可能進行修改。若使用者擁有管理權限，應用程式將可能造成更大的災害。

建立唯一的策略代理程式識別

步驟

1. 使用 Access Manager 管理控制台為每個代理程式建立項目。

2. 執行下列於建立代理程式期間輸入的密碼指令。應在安裝代理程式的主機上呼叫此命令。

   AccessManager-base/SUNWam/agents/bin/crypt_util agent123

   如此將提供下列輸出：

   WnmKUCg/y3l404ivWY6HPQ==

3. 變更 AMAgent.properties 以反映新值，然後重新啟動代理程式。範例：

   # The username and password to use for the Application 
   
   authentication module.
   
   
   
   com.sun.am.policy.am.username = agent123
   
   com.sun.am.policy.am.password = WnmKUCg/y3l404ivWY6HPQ==
   
   
   
   # Cross-Domain Single Sign On URL
   
   # Is CDSSO enabled.
   
   com.sun.am.policy.agents.cdsso-enabled=true
   
   
   
   # This is the URL the user will be redirected to after successful login
   
   # in a CDSSO Scenario.
   
   com.sun.am.policy.agents.cdcservletURL = http://server.example.com:port
   
   /amserver/cdcservlet

4. 變更安裝 Access Manager 所在的 AMConfig.properties 以反映新值，然後重新啟動 Access Manager。範例：

   com.sun.identity.enableUniqueSSOTokenCookie=true
   
   com.sun.identity.authentication.uniqueCookieName=sunIdentityServerAuthNServer
   
    
   
   com.sun.identity.authentication.uniqueCookieDomain=.example.com

5. 於 Access Manager 主控台中，選取 [配置] > [平台]。

6. 在 [Cookie 網域] 清單中，變更 Cookie 網域名稱：

   1. 選取預設的 iplanet.com 網域，然後按一下 [移除]。

   2. 輸入安裝 Access Manager 的主機名稱，然後按一下 [新增]。

      範例：server.example.com

      您應該會在瀏覽器上看見兩組 Cookie：

      • iPlanetDirectoryPro – 伺服器。example.com (主機名稱)

      • sunIdentityServerAuthNServer – example.com (主機名稱)