第 II 部分 存取控制

這是「Sun Java System Access Manager^TM 7 2005Q4 管理指南」的第二部分。「存取控制」介面提供建立與管理認證與授權服務的方法，以保護並規範範圍型的資源。當企業使用者請求資訊時，Access Manager 將驗證使用者的身份並授權使用者存取使用者所請求的特定資源。本部分包含以下章節：

• 第 4 章, Access Manager 主控台

• 第 5 章, 管理範圍

• 第 6 章, 資料存放區

• 第 7 章, 管理認證

• 第 8 章, 管理策略

• 第 9 章, 管理主旨

第 4 章 Access Manager 主控台

Access Manager 主控台為 Web 介面，允許具不同層級存取權限的管理員執行作業。比如建立範圍和組織、在範圍中建立使用者或從範圍刪除使用者以及建立用以保護和限制對範圍資源之存取的強制策略。此外，管理員可檢視和終止目前的使用者階段作業，管理其聯合配置 (建立、刪除和修改認證網域與提供者)。另一方面，不具管理權限的使用者可以管理個人資訊 (名稱、電子郵件位址、電話號碼等)、變更密碼、訂閱和取消訂閱群組以及檢視其角色。Access Manager 主控台有兩個主要檢視：

• 管理檢視

• 使用者設定檔檢視

管理檢視

當具有管理角色的使用者通過 Access Manager 認證後，預設檢視為 [管理] 檢視。在此檢視中，管理員可執行大部份與 Access Manager 相關的管理工作。Access Manager 可用兩種不同的模式安裝；「範圍」模式和「舊有」模式。每個模式都有自己的主控台。如需有關「範圍」和「舊有」模式的更多資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Technical Overview」。

範圍模式主控台

管理員可使用「範圍」模式主控台來管理基於範圍的存取控制、預設服務配置、Web 服務和聯合。若要存取管理員登入畫面，請在您的瀏覽器中使用以下位址語法：

protocol://servername /amserver/UI/Login

protocol 可為 http 或 https，依您的部署而定。

圖 4–1 範圍模式管理檢視

舊有模式主控台

「舊有模式」主控台是以 Access Manager 6.3 的架構為基礎。此舊有 Access Manager 架構使用 Sun Java System Directory Server 內的 LDAP 目錄資訊樹狀結構 (DIT) 。在「舊有」模式中，使用者資訊和存取控制資訊都是儲存在 LDAP 組織中。選擇「舊有」模式時，LDAP 組織相當於存取控制範圍。範圍資訊會整合在 LDAP 組織中。在「舊有」模式中，[目錄管理] 標籤可用於基於 Access Manager 的識別管理。

若要存取管理員登入畫面，請在您的瀏覽器中使用以下位址語法：

protocol://servername /amserver/console

protocol 可為 http 或 https，依您的部署而定。

圖 4–2 舊有模式管理檢視

舊有模式 6.3 主控台

Access Manager 6.3 的部份功能不能在 Access Manager 7.0 主控台中使用。因此，管理員可透過 7.0 舊有部署登入 6.3 主控台。若 Access Manager 是建立在 Sun Java System Portal Server 或其他需使用 Sun Java System Directory Server 做為中央識別儲存庫的 Sun Java System 通訊產品上時，通常是使用此主控台。其他功能，如「委託管理」和「服務類別」，只能透過此主控台存取。

請勿互換使用 6.3 和 7.0 舊有模式主控台。

若要存取 6.3 主控台，請在您的瀏覽器中使用以下位址語法：

protocol://servername /amconsole

protocol 可為 http 或 https，依您的部署而定。

圖 4–3 舊有 6.3 主控台

使用者設定檔檢視

沒有指定管理角色的使用者認證 Access Manager 時，預設的檢視為使用者本身的使用者設定檔。[使用者設定檔] 檢視可從「範圍」或「舊有」模式存取。使用者必須在 [登入] 頁面輸入使用者自己的使用者名稱和密碼才可存取此檢視。

在此檢視中，使用者可以修改其個人設定檔的特定屬性值。這包括但不僅限於名稱、家庭住址和密碼。[使用者設定檔] 檢視中顯示的屬性可以延伸。

圖 4–4 使用者設定檔檢視

第 5 章 管理範圍

存取控制範圍是一組您可與使用者或使用者群組關聯的認證特性與授權策略。範圍資料儲存於一個專有權資訊樹狀結構中，其為 Access Manager 於您指定的資料存放區中所建立。Access Manager 框架於 Access Manager 資訊樹狀結構中聚集包含於每一個範圍中的策略與特性。依預設，除使用者資料外，Access Manager 7 會自動地將 Access Manager 資訊樹狀結構做為特殊的分支插入 Sun Java Enterprise System Directory Server 中。當使用任何 LDAPv3 資料庫時，您可以使用存取控制範圍。

如需有關範圍的詳細資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Technical Overview」。

於 [範圍] 標籤中，您可為存取控制配置下列特性：

• 認證

• 服務

• 權限

建立及管理範圍

本節描述如何建立及管理範圍。

建立新的範圍

步驟

1. 從 [存取控制] 標籤下的 [範圍] 清單中選取 [新建]。

2. 定義下列一般屬性：

   名稱

   輸入範圍的名稱。

   父系

   定義您正在建立的範圍位置。選取新範圍將存在處的父系範圍。

3. 定義下列範圍屬性：

   範圍狀態

   選擇作用中或非作用中狀態。預設值為 [作用中]。在範圍存在期間，可以透過選取 [特性] 圖示隨時變更該狀態。登入時，選擇 [非作用中] 以停用使用者存取。

   範圍/DNS 別名

   允許加入範圍 DNS 名稱的別名。此屬性僅接受「實際的」網域別名 (不允許使用隨機字串)。

4. 按一下 [確定] 以儲存，或按一下 [取消] 以返回前一個頁面。

一般特性

[一般特性] 頁面顯示範圍的基本屬性。若要修改這些特性，於 [存取控制] 標籤之下按一下 [範圍名稱] 的範圍。然後，編輯下列特性：

範圍狀態

選擇作用中或非作用中狀態。預設值為 [作用中]。在範圍存在期間，可以透過選取 [特性] 圖示隨時變更該狀態。登入時，選擇 [非作用中] 以停用使用者存取。

範圍/DNS 別名

允許加入範圍 DNS 名稱的別名。此屬性僅接受「實際的」網域別名 (不允許使用隨機字串)。

一旦您編輯了特性，請按一下 [儲存]。

認證

一般認證服務必須先註冊為某個範圍的服務，使用者才能使用其他認證模組登入。Access Manager 7 管理員使用核心認證服務可以定義範圍認證參數的預設值。若未於特定認證模組中定義置換值，稍後則可以使用這些值。核心認證服務的預設值定義於 amAuth.xml 檔案中，並於安裝後儲存於 Directory Server 之中。

如需詳細資料，請參閱第 7 章, 管理認證

服務

在 Access Manager 中，服務是由 Access Manager 主控台一起管理的屬性群組。屬性可以只是一些相關資訊，如員工名稱、職稱與電子郵件位址。但屬性通常做為軟體模組的配置參數，如電子郵件應用程式或發薪服務。

經由 [服務] 標籤，您可對範圍新增並配置大量 Access Manager 預設服務。您可以新增下列服務：

• 管理

• 探索服務

• 全域化設定

• 密碼重設

• 階段作業

• 使用者

Access Manager 強制服務 .xml 檔案中必需的屬性皆具有某些預設值。若您具有無值之必需屬性的服務，您需要新增預設值並重新載入服務。

將服務新增至範圍

步驟

1. 按一下您要新增服務的範圍名稱。

2. 選取 [服務] 標籤。

3. 按一下 [服務] 清單中的 [新增]。

4. 選取您要為範圍新增的服務。

5. 按 [下一步]。

6. 定義範圍屬性以配置服務。請參閱線上說明中的「配置」以取得服務屬性的說明。

7. 按一下 [完成]。

8. 若要編輯服務的特性，請按一下服務清單中的名稱。

權限

權限定義對某個範圍內之角色或群組的存取權限。角色或群組被用於 [Access Manager 識別主旨] 類型的策略主旨定義。若要指定或修改權限，按一下您要編輯的角色或群組名稱。您可以指定的權限包括：

• 僅針對策略特性的讀取與寫入存取權

• 所有範圍與策略特性的讀取與寫入存取權

• 所有特性與服務的唯讀存取權

第 6 章 資料存放區

資料存放區是一個資料庫，您可在其中儲存使用者屬性與使用者配置資料。

Access Manager 提供一個連接至識別儲存庫架構的識別儲存庫外掛程式。這個新的模型可讓您檢視並擷取 Access Manager 使用者資訊，而不需變更現有的使用者資料庫。Access Manager 架構整合識別儲存庫外掛程式的資料與其他 Access Manager 外掛程式的資料以形成每位使用者的虛擬識別。Access Manager 稍後可在多個識別儲存庫間的認證與授權程序中使用通用識別。當使用者階段作業結束時，將銷毀虛擬使用者識別。

LDAPv3 資料存放區

當以「範圍」與「舊有」兩種模式安裝 Access Manager 時，您可為任何 LDAPv3 儲存庫建立一個新的資料存放區實例。於下列狀況之下您應選擇 LDAPv3 儲存庫類型：

• 當不需要角色、服務類別 (CoS) 及與前一版的 Access Manager 相容時。

• 當您要使用一個存在的目錄時。

• 當您要對識別儲存庫使用一個非 Sun Java System Directory Server 的目錄伺服器時。

• 當您不需 Access Manager 對識別儲存庫進行寫入時。

• 當您要使用一個平面的「目錄資訊樹狀結構 (DIT)」時。

建立新的 LDAPv3 資料存放區

下節將描述連接一個通用 LDAPv3 資料存放區的步驟。

步驟

1. 選取要新增資料存放區的範圍。

2. 按一下 [資料存放區] 標籤。

3. 按一下 [資料存放區] 清單中的 [新建]。

4. 輸入資料存放區的名稱。

5. 定義 LDAPv3 儲存庫外掛程式的屬性。

6. 按一下 [完成]。

LDAPv3 儲存庫外掛程式屬性

下列屬性用於配置 LDAPv3 儲存庫外掛程式：

• 主 LDAP 伺服器

• LDAP 連結 DN

• LDAP 連結密碼

• LDAP 連結密碼 (確認)

• LDAP 組織 DN

• 啟用 LDAP SSL

• LDAP 連接儲存區最小大小

• LDAP 連接儲存區最大大小

• 從搜尋傳回的最多結果

• 搜尋逾時

• LDAP 依照參照

• LDAPv3 儲存庫外掛程式類別名稱

• 屬性名稱對映

• LDAPv3 外掛程式支援的類型和作業

• LDAP 使用者搜尋屬性

• LDAP 使用者搜尋篩選器

• LDAP 使用者物件類別

• LDAP 使用者屬性

• LDAP 群組搜尋屬性

• LDAP 群組搜尋篩選器

• LDAP 群組容器命名屬性

• LDAP 群組容器值

• LDAP 群組物件類別

• LDAP 群組屬性

• 群組成員身份的屬性名稱

• 群組成員的屬性名稱

• 群組成員 URL 的屬性名稱

• LDAP 使用者容器命名屬性

• LDAP 使用者容器值

• 代理程式搜尋屬性

• LDAP 代理程式容器命名屬性

• LDAP 代理程式容器值

• LDAP 代理程式搜尋篩選器

• LDAP 代理程式物件類別

• LDAP 代理程式屬性

• 永久性搜尋基底 DN

• 重新啟動前永久性搜尋最長閒置時間

• 出現錯誤碼後的最大重試次數

• 重試之間的延遲時間

• 需要重試的 LDAPException 錯誤碼

主 LDAP 伺服器

輸入您要連接的 LDAP 伺服器名稱。格式應為 hostname.domainname:portnumber。

若輸入了多個 host:portnumber 項目，則會嘗試連接清單中的第一個主機。僅當連接至目前主機失敗時，才會嘗試清單中的下一個項目。

LDAP 連結 DN

指定 Access Manager 將用來認證您目前所連接之 LDAP 伺服器的 DN 名稱。具有連結所用之 DN 名稱的使用者應具有您配置於 LDAPv3 支援的類型和作業屬性中的正確的新增/修改/刪除特權。

LDAP 連結密碼

指定 Access Manager 將用來認證您目前所連接之 LDAP 伺服器的 DN 密碼。

LDAP 連結密碼 (確認)

確認密碼。

LDAP 組織 DN

此資料儲存庫將對映的 DN 。此將為於此資料存放區中執行之所有作業的基底 DN。

啟用 LDAP SSL

當啟用時，Access Manger 將使用 HTTPS 通訊協定連線至主伺服器。

LDAP 連接儲存區最小大小

指定連接儲存區中的初始連線數目。使用連接儲存區可避免每次都建立新的連線。

LDAP 連接儲存區最大大小

指定允許的最大連線數目。

從搜尋傳回的最多結果

指定搜尋作業傳回項目的最大數目。若已達到上限，Directory Server 會傳回任何符合搜尋請求的項目。

搜尋逾時

指定搜尋請求所分配的最大秒數。若已達到上限，Directory Server 會傳回任何符合搜尋請求的搜尋項目。

LDAP 依照參照

若啟用，此選項指定自動依照其他 LDAP 伺服器的參照。

LDAPv3 儲存庫外掛程式類別名稱

指定實作 Access Manager 儲存庫外掛程式的類別檔案位置。

屬性名稱對映

啟用將對映至原生資料存放區的框架所知的通用屬性。例如，若框架使用 inetUserStatus 來決定使用者狀態，原生資料存放區可以實際使用 userStatus。屬性定義區分大小寫。

LDAPv3 外掛程式支援的類型和作業

指定此 LDAP 伺服器允許的或可執行的作業。預設作業是僅限於此 LDAPv3 儲存庫外掛程式支援的作業。以下是 LDAPv3 儲存庫外掛程式支援的作業：

• 群組 — 讀取、建立、編輯、刪除

• 範圍 — 讀取、建立、編輯、刪除、服務

• 使用者 — 讀取、建立、編輯、刪除、服務

• 代理程式 — 讀取、建立、編輯、刪除

您可以根據 LDAP 伺服器的設定與作業

從上述作業移除權限，但您不可以新增更多的權限。

LDAP 使用者搜尋屬性

此欄位定義對使用者進行搜尋的屬性類型。例如，若使用者的 dn 為 uid=k user5,ou=people,dc=iplanet,dc=com，則命名屬性為 uid。(uid=*) 將附加至使用者的搜尋篩選器。

LDAP 使用者搜尋篩選器

指定用於尋找使用者項目的搜尋篩選器。例如，若 LDAP 使用者搜尋屬性為 uid 而 LDAP 使用者搜尋篩選器為 (objectClass=inetorgperson)，則實際使用者搜尋篩選器將為：(&(uid=*)(objectClass=inetorgperson))。

LDAP 使用者物件類別

指定使用者的物件類別。當建立了一個使用者時，本使用者物件類別清單將新增至使用者的屬性清單。

LDAP 使用者屬性

定義與使用者相關聯的屬性清單。任何不在本清單上的讀取/寫入使用者屬性嘗試皆不被允許。這些屬性區分大小寫。於此處定義物件類別與屬性模式之前，必須在 Directory Server 中定義物件類型與屬性模式。

LDAP 群組搜尋屬性

此欄位定義對群組進行搜尋的屬性類型。例如，若群組 dn 為 cn=group1,ou=groups,dc=iplanet,dc=com，群組的命名屬性為 cn 而 (cn=*) 將附加至群組搜尋篩器。

LDAP 群組搜尋篩選器

指定用於尋找群組項目的搜尋篩選器。例如，如果 LDAP 群組搜尋屬性是 cn，而 LDAP 群組搜尋篩選器是 (objectclass=groupOfUniqueNames)，則實際的群組搜尋篩選器將為 (&(cn=*)(objectclass=groupOfUniqueNames))。

LDAP 群組容器命名屬性

若群組存在於容器中，請指定群組容器的命名屬性。否則，此屬性將為空白。例如，如果 cn=group1,ou=groups,dc=iplanet,dc=com 的群組 DN 存在於 ou=groups 中，則群組容器命名屬性為 ou。

LDAP 群組容器值

指定群組容器值。例如，cn=group1,ou=groups,dc=iplanet,dc=com 的群組 DN 存在於容器名稱 ou=groups 中，則群組容器值將為 groups。

LDAP 群組物件類別

指定群組的物件類別。當建立了一個群組時，本群組物件類別清單將新增至群組的屬性清單。

LDAP 群組屬性

定義與群組相關聯的屬性清單。任何不在本清單上的讀取/寫入群組屬性嘗試皆不被允許。這些屬性區分大小寫。於此處定義物件類別與屬性模式之前，必須在 Directory Server 中定義物件類型與屬性模式。

群組成員身份的屬性名稱

指定屬性名稱，其值為 DN 所屬之所有群組的名稱。預設值為 memberOf。

群組成員的屬性名稱

指定屬性名稱，其值為屬於此群組的 DN。預設值為 uniqueMember。

群組成員 URL 的屬性名稱

指定屬性名稱，其值為解析為此群組所屬成員的一個 LDAP URL。預設值為 memberUrl。

LDAP 使用者容器命名屬性

若使用者存在於容器中，請指定使用者容器的命名屬性。若使用者並未位於使用者容器中，此欄位應為空白。例如，假設使用者 dn uid=kuser5,ou=people,dc=iplanet,dc=com,，若 ou=people 為使用者容器名稱，則命名屬性為 ou。

LDAP 使用者容器值

指定使用者容器值。預設值為 people。例如，給定使用者 DN uid=kuser5,ou=people,dc=iplanet,dc=com，如果 ou=people 是使用者容器的名稱，則命名屬性為 ou 且「LDAP 使用者容器值」是 people。

代理程式搜尋屬性

此欄位定義對代理程式進行搜尋的屬性類型。預設值為 uid。例如，如果代理程式的 DN 是 uid=kagent1,ou=agents,dc=iplanet,dc=com，則其命名屬性為 uid。(uid=*) 將會附加到代理程式的搜尋篩選器。

LDAP 代理程式容器命名屬性

若代理程式位於一個代理程式容器中，則為代理程式容器的命名屬性。若代理程式並未位於代理程式容器中，此欄位應為空白。例如，給定使用者 DN uid=kagent1,ou=agents,dc=iplanet,dc=com，則代理程式命名屬性為 ou。

LDAP 代理程式容器值

指定代理程式容器值。若代理程式並未位於代理程式容器中，則其為空白。於前一個範例中，代理程式容器值應為 agents。

LDAP 代理程式搜尋篩選器

定義用來搜尋代理程式的篩選器。[LDAP 代理程式搜尋] 屬性置於此欄位之前以形成實際代理程式搜尋篩選器。

例如，若 [LDAP 代理程式搜尋屬性] 為 uid 而 [LDAP 使用者搜尋篩選器] 為 (objectClass=sunIdentityServerDevice)，則實際使用者搜尋篩選器將為：(&(uid=*)(objectClass=sunIdentityServ erDevice))

LDAP 代理程式物件類別

定義代理程式的物件類別。當建立了一個代理程式時，本使用者物件類別清單將新增至代理程式的屬性清單

LDAP 代理程式屬性

定義與代理程式相關聯的屬性清單。任何不在本清單上的讀取/寫入代理程式屬性嘗試皆不被允許。這些屬性區分大小寫。於此處定義物件類別與屬性模式之前，必須在 Directory Server 中定義物件類型與屬性模式。

永久性搜尋基底 DN

定義用於永久性搜尋的基 DN。某些 LDAPv3 伺服器僅在根字尾層次上支援永久性搜尋。

重新啟動前永久性搜尋最長閒置時間

重新啟動永久性搜尋前，請定義最大閒置時間。此值必須大於 1。若值小於或等於 1，則無論連線的閒置時間為何，皆將重新啟動搜尋。

若 Access Manager 與載入平衡器同時部署，則某些載入平衡器將在閒置一段特定時間後逾時。於此條件中，您應該將 [重新啟動前永久性搜尋最長閒置時間] 設定為一個小於載入平衡器之指定時間的值。

出現錯誤碼後的最大重試次數

若遇到 [需要重試的 LDAPException 錯誤碼] 中指定的錯誤碼，請定義永久性搜尋作業的最大重試次數。

重試之間的延遲時間

指定每次重試前的等待時間。僅適用於永久性搜尋連線。

需要重試的 LDAPException 錯誤碼

指定錯誤碼以初始永久性搜尋作業重試。此屬性僅適用於永久性搜尋，並不適用於所有 LDAP 作業。

AMSDK 儲存庫外掛程式

當 Access Manager 以「舊有」模式安裝時，AMSDK 識別儲存庫將自動地與 Access Manager 資訊樹狀結構融合。於「範圍」模式中，您可選擇安裝 AMSDK 儲存庫，但識別儲存庫並未與 Access Manager 資訊樹狀結構融合。於下列狀況之下您應選擇 AMSDK 儲存庫類型：

• 若要利用 Sun Java System Directory Server 的特定功能，如角色和服務類別 (CoS)。

• 若要取得與 Access Manager 先前版本的相容性。

若要建立一個新的 AMSDK 儲存庫外掛程式

步驟

1. 請選取範圍，以便在其中配置 Access Manager 儲存庫外掛程式。

2. 按一下 [資料存放區] 標籤。

3. 按一下 [資料存放區] 清單中的 [新建]。

4. 輸入儲存庫外掛程式的名稱。

5. 選取 [Access Manager 儲存庫外掛程式]。

6. 按 [下一步]。

7. 定義下列欄位：

   Access Manager 外掛程式類別名稱

   指定實作 Access Manager 儲存庫外掛程式的類別檔案位置。

   Access Manager 組織

   指向 Access Manager 所管理 Directory Server 之組織的 DN。此將為於此資料存放區中執行之所有作業的基底 DN。

8. 按一下 [完成]。

第 7 章 管理認證

認證服務提供一項基於 Web 的使用者介面給所有安裝於 Access Manager 部署中的預設認證模組。該介面提供動態和可自訂的工具，在使用者請求存取時顯示登入需求畫面 (基於呼叫的認證模組) 以匯集認證憑證。該介面使用 Sun Java System™ Application Framework (有時稱為 JATO，它是一種 Java 2 Enterprise Edition (J2EE) 簡報框架，用於協助開發者建立實用的網路應用程式) 建立。

配置認證

本節描述如何配置您部署的認證。第一部分略述預設認證模組類型並提供任何所需的預先配置的指令。您可對範圍、使用者、角色等等配置相同認證模組類型的多重配置實例。此外，您可新增認證鏈接，如此於順利認證之前，認證必須通過多重實例的準則。本節包含：

• 認證模組類型

• 認證模組實例

• 認證鏈接

• 建立新的認證鏈接

認證模組類型

認證模組是一個收集使用者資訊 (如使用者 ID 和密碼) 並檢查資料庫中之項目資訊的外掛程式。若使用者提供符合認證準則的資訊，則將對使用者授予所請求資源的存取權。若使用者提供不符合認證準則的資訊，則將拒絕使用者所請求資源的存取權。Access Manager 安裝時附有 15 種認證模組類型。

• 核心

• Active Directory

• 匿名

• 憑證

• HTTP Basic

• JDBC

• LDAP

• 成員身份

• MSISDN

• RADIUS

• SafeWord

• SAML

• SecurID

• Windows Desktop SSO

• Windows NT

• UNIX

用作認證實例之前，某些認證模組類型需要進行預先配置。如需要，配置步驟將列於模組類型描述之中。

核心

依預設，Access Manager 提供十五種不同的認證模組，以及核心認證模組。核心認證模組為認證模組提供總體配置。加入及啟用 Active Directory、匿名、基於憑證的認證、HTTP Basic、JDBC、LDAP、任何認證模組之前，必須先加入和啟用核心認證。對預設範圍自動啟用核心和 LDAP 認證兩種模組。

按一下 [進階特性] 按鈕顯示可為範圍定義的核心認證屬性。全域屬性不適用於範圍，因此將不顯示。

Active Directory

Active Directory 認證模組執行認證的方式與 LDAP 模組相似，但使用的是 Microsoft 的 Active Directory™ 伺服器 (相對於 LDAP 認證模組使用的 Directory Server)。雖然可對 Active Directory 伺服器配置 LDAP 認證模組，但此模組可讓您在相同範圍下同時擁有 LDAP 和 Active Directory 兩種認證模組。

在此版本中，Active Directory 認證模組僅支援使用者認證。只有 LDAP 認證模組會支援密碼策略。

匿名

依預設，啟用此模組時，使用者能以 anonymous 使用者的身份登入 Access Manager。藉由配置 [有效匿名使用者清單] 屬性，亦可對此模組定義一份匿名使用者清單。授與匿名存取權意味著無需提供密碼即可進行存取。可以將匿名存取權限制為特定類型的存取權 (例如，讀取存取權或搜尋存取權)，或限制在目錄內的子樹或個別項目中。

憑證

基於憑證的認證需要使用個人數位憑證 (PDC) 來識別和認證使用者。可以將 PDC 配置為需要與儲存在 Directory Server 中的 PDC 相符，並要根據憑證廢止清單進行驗證。

在對範圍加入基於憑證的認證模組之前，需要完成許多工作。首先，需要確保與 Access Manager 一同安裝之 Web 容器的安全，並對其進行配置，以用於基於憑證的認證。於啟用基於憑證的模組之前，請參閱「Sun ONE Web Server 6.1 管理員指南」中的第 6 章「使用證書和金鑰」，以取得這些 Web Server 的初始配置步驟。此文件位於以下位置：

http://docs.sun.com/db/prod/s1websrv#hic

或者，參閱位於下列位置的「Sun ONE Application Server Administrator’s Guide to Security」：

http://docs.sun.com/db/prod/s1appsrv#hic

每一位要使用基於憑證的模組進行認證的使用者，必須請求用於使用者瀏覽器的 PDC。根據所使用的瀏覽器不同，會有不同的說明。請參閱您瀏覽器的說明文件，以取得更多資訊。

為了加入此模組，您必須以範圍管理員的身份登入 Access Manager，並配置 Access Manager 和 Web 容器，以使用 SSL 並啟用用戶端認證。如需更多資訊，請參閱第 3 章, 在 SSL 模式中配置 Access Manager。

HTTP Basic

此模組使用基本認證，它是 HTTP 通訊協定內建的認證支援。Web 伺服器發出要求提供使用者名稱和密碼的用戶端請求，並將這些資訊作為授權請求的一部分傳回伺服器。會擷取該使用者名稱和密碼，從內部將使用者認證至 LDAP 認證模組。為使 HTTP Basic 正常工作，必須加入 LDAP 認證模組 (僅加入 HTTP Basic 模組將不起作用)。一旦使用者認證成功，其無需提供使用者名稱和密碼即可重新進行認證。

JDBC

Java Database Connectivity (JDBC) 認證模組提供一種機制，可讓 Access Manager 經由提供 JDBC 技術啟用驅動程式的 SQL 資料庫來認證使用者。與 SQL 資料庫的連線可以直接經由 JDBC 驅動程式或 JNDI 連線池。

此模組已在 MySQL4.0 和 Oracle 8i 上通過測試。

LDAP

如果使用 LDAP 認證模組，當使用者登入時，他或她必須以特定的使用者 DN 和密碼連結至 LDAP Directory Server。此為所有基於範圍的認證之預設認證模組。若使用者提供 Directory Server 中的使用者 ID 和密碼，系統將允許此使用者存取有效的 Access Manager 階段作業，並使用該階段作業進行設定。對預設範圍自動啟用核心和 LDAP 認證兩種模組。

成員身份

成員身份認證的實施類似於個人網站，例如：my.site.com 或 mysun.sun.com。啟用此模組時，使用者無需借助管理員，即可建立帳號並將其作為個人帳號。對於這個新帳號，使用者能以已加入使用者的身份來存取它。還可以存取檢視器介面，此介面作為授權資料和使用者偏好設定儲存在使用者設定檔資料庫中。

MSISDN

Mobile Station Integrated Services Digital Network (MSISDN) 認證模組會使用如行動電話等裝置相關的行動用戶 ISDN 來啟用認證。這是非互動式模組。此模組擷取用戶 ISDN 並利用 Directory Server 進行驗證，以找到符合該號碼的使用者。

RADIUS

Access Manager 可以配置為搭配已安裝的 RADIUS 伺服器使用。如果您的企業使用老舊的 RADIUS 伺服器進行認證，這會很有用。啟用 RADIUS 認證模組需要執行兩個步驟：

1. 配置 RADIUS 伺服器。

   如需詳細指示，請參閱 RADIUS 伺服器的文件。

2. 註冊和啟用 RADIUS 認證模組。

與 Sun Java System Application Server 一起配置 RADIUS

當 RADUIS 用戶端與其伺服器形成通訊端連線時，依預設，Application Server 的 server.policy 檔案中僅可有 SocketPermission 的連線權限。為了使 RADUIS 認證正常工作，需要為以下動作授與權限：

• 接受

• 連接

• 偵聽

• 解析

若要授予通訊端連線的權限，您必須在應用程式伺服器的 server.policy 檔案中加入一個項目。SocketPermission 由主機規格和一組指定與該主機連線方式的動作組成。主機依如下指令指定：

host = hostname | IPaddress:portrange:portrange = portnumber 

| -portnumberportnumber-portnumber

主機表示為 DNS 名稱、數字 IP 位址或本端主機 (針對本端機器)。DNS 名稱主機規格中可使用一次萬用字元「*」。如果包含萬用字元，它必須位於最左側，如：*.example.com。

連接埠 (或連接埠範圍) 為選擇性的。形式為 N- 的連接埠規格 (其中 N 為連接埠埠號)，表示號碼為 N 及大於 N 的所有連接埠。形式為 -N 的連接埠規格則表示號碼為 N 及小於 N 的所有連接埠。

偵聽動作僅在與本端主機搭配使用時才有意義。如果存在任何其他動作，則暗含解析 (解析主機/IP 名稱服務查找) 動作。

例如，建立 SocketPermission 時請注意，如果將以下權限授與某程式碼，則該權限可讓程式碼與 machine1.example.com 上的 port 1645 連線，並接受該連接埠上的連線：

permission java.net.SocketPermission machine1.example.com:1645, "connect,accept";

同樣，如果將以下權限授與某程式碼，則該權限可讓程式碼接受本端主機上 1024 至 65535 之間任一連接埠上的連線、與這些連接埠連線或偵聽這些連接埠：

permission java.net.SocketPermission "machine1.example.com:1645", "connect,accept";

permission java.net.SocketPermission "localhost:1024-", "accept,connect,listen";

因為有害的程式碼可以更容易在不擁有資料的存取權的多方中傳輸和共用這些資料，所以將接受或建立與遠端主機連線的權限授與程式碼可能會引發問題。請確保透過指定精確的連接埠號 (而不是指定連接埠號範圍) 僅授與適當的權限。

SafeWord

可配置 Access Manager 以處理對安全運算的 SafeWord™ 或 SafeWord PremierAccess™ 認證伺服器的 SafeWord 認證請求。Access Manager 會提供 SafeWord 認證的用戶端。SafeWord 伺服器可以存在於安裝有 Access Manager 的系統，或是單獨的系統上。

與 Sun Java System Application Server 一起配置 SafeWord

SafeWord 用戶端與其伺服器形成通訊端連線時，依預設，應用程式伺服器的 server.policy 檔案中，只允許有 SocketPermission 的連線權限。為了使 SafeWord 認證正常工作，需要為以下動作授與權限：

• 接受

• 連接

• 偵聽

• 解析

若要授予通訊端連線的權限，您必須在應用程式伺服器的 server.policy 檔案中加入一個項目。SocketPermission 由主機規格和一組指定與該主機連線方式的動作組成。主機依如下指令指定：

host = (hostname | IPaddress)[:portrange] portrange = 

portnumber | -portnumberportnumber-[portnumber]

主機表示為 DNS 名稱、數字 IP 位址或本端主機 (針對本端機器)。DNS 名稱主機規格中可使用一次萬用字元「*」。如果包含萬用字元，它必須位於最左側，如：*.example.com。

連接埠 (或 portrange) 為選擇性的。形式為 N- 的連接埠規格 (其中 N 為連接埠埠號)，表示號碼為 N 及大於 N 的所有連接埠。形式為 -N 的連接埠規格則表示號碼為 N 及小於 N 的所有連接埠。

偵聽動作僅在與本端主機搭配使用時才有意義。如果存在任何其他動作，則暗含解析 (解析主機/IP 名稱服務查找) 動作。

例如，建立 SocketPermission 時請注意，如果將以下權限授與某程式碼，則該權限可讓程式碼與 machine1.example.com 上的 port 1645 連線，並接受該連接埠上的連線：

permission java.net.SocketPermission machine1.example.com:5030, "connect,accept";

同樣，如果將以下權限授與某程式碼，則該權限可讓程式碼接受本端主機上 1024 至 65535 之間任一連接埠上的連線、與這些連接埠連線或偵聽這些連接埠：

permission java.net.SocketPermission "machine1.example.com:5030", "connect,accept";

permission java.net.SocketPermission "localhost:1024-", "accept,connect,listen";

因為有害的程式碼可以更容易在不擁有資料的存取權的多方中傳輸和共用這些資料，所以將接受或建立與遠端主機連線的權限授與程式碼可能會引發問題。請確保透過指定精確的連接埠號 (而不是指定連接埠號範圍) 僅授與適當的權限。

SAML

安全指定標記語言 (SAML) 認證模組擷取並驗證目標伺服器上的 SAML 指定。只有在此模組是配置於目標機器上時 (包括升級後，例如：Access Manager 2005Q1 升級至 Access Manager 2005Q4)，SAML SSO 才有作用。

SecurID

Access Manager 可以配置為能處理對 RSA 的 ACE/Server 認證伺服器提出之「SecurID 認證」請求。Access Manager 會提供 SecurID 認證的用戶端。ACE/Server 可以存在於安裝有 Access Manager 的系統，或是單獨的系統上。若要對在本機管理的使用者 ID 進行認證 (請參閱 admintool (1M))，需要超級使用者存取權限。

「SecurID 認證」使用認證輔助程式 amsecuridd，它是 Access Manager 主程序以外的單獨程序。此輔助程式會在啟動時偵聽某連接埠，以取得配置資訊。如果安裝了 Access Manager 並以 nobody 身份或非超級使用者的使用者 ID 執行，必須仍以超級使用者身份執行 AccessManager-base/SUNWam/share/bin/amsecuridd 程序。如需 amsecuridd 輔助程式的詳細資訊，請參閱第 20 章, amsecuridd 輔助程式。

在此版本的 Access Manager 中，「SecurID 認證」模組不適用於 Linux 或 Solaris x86 平台，且不應在這兩個平台上註冊、配置或啟用。它僅適用於 SPARC 系統。

UNIX

Access Manager 可以配置為根據安裝有 Access Manager 的 Solaris 或 Linux 系統上已知的 Unix 使用者 ID 和密碼，處理認證請求。雖然僅有一個範圍屬性和幾個用於 Unix 認證的全域屬性，但仍有一些針對系統的考量。若要對本機管理的使用者 ID 進行認證 (請參閱 admintool (1M))，則需要超級使用者存取權限。

「Unix 認證」使用認證 輔助程式 amunixd，它是 Access Manager 主程序以外的單獨程序。此輔助程式會在啟動時偵聽某連接埠，以取得配置資訊。每個 Access Manager 只有一個 Unix 輔助程式以供其所有範圍使用。

如果安裝了 Access Manager 並以 nobody 身份或非超級使用者的使用者 ID 執行，必須仍以超級使用者身份執行 AccessManager-base/SUNWam/share/bin/amunixd 程序。Unix 認證模組透過開啟 localhost:58946 的通訊端來呼叫 amunixd 常駐程式，以偵聽 Unix 認證請求。若要在預設連接埠上執行 amunixd 輔助程式程序，請輸入以下指令：

./amunixd

若要在非預設連接埠上執行 amunixd，請輸入下列指令：

./amunixd [-c portnm] [ipaddress]

IP 位址與連接埠埠號位於 AMConfig.properties 的 UnixHelper.ipadrs 屬性 (IPV4 格式) 和 UnixHelper.port 屬性中。您可透過 amserver 指令行公用程式執行 amunixd (amserver 會自動執行此程序，並從 AMConfig.properties 擷取連接埠號和 IP 位址)。

/etc/nsswitch.conf 檔案中的 passwd 項目會決定是參考 /etc/passwd 和 /etc/shadow 檔案，還是參考 NIS 來進行認證。

Windows Desktop SSO

「Windows Desktop SSO 認證」模組是基於 Kerberos 的認證外掛程式模組，用於 Windows 2000™。它可讓通過 Kerberos 配送中心 (Kerberos Distribution Center；KDC) 認證的使用者，毋需再次提交登入條件便可通過 Access Manager 的認證 (單次登入)。

使用者透過 SPNEGO (Simple and Protected GSS-API Negotiation Mechanism) 通訊協定向 Access Manager 提出 Kerberos。為了經由此認證模組來執行基於 Kerberos 的單次登入 Access Manager，在用戶端的使用者必須支援 SPNEGO 通訊協定，才能自我認證。通常，任何支援此通訊協定的使用者應該都能使用這個模組對 Access Manager 進行認證。視用戶端記號的可用性而定，此模組會提供 SPENGO 記號或 Kerberos 記號 (不論那一個，通訊協定都相同)。於 Windows 2000 (或更新版本) 上執行的 Microsoft Internet Explorer (5.01 或更新版本) 目前支援此通訊協定。此外，Solaris (9 和 10) 上的 Mozilla 1.4 具有 SPNEGO 支援，但只會傳回 KERBEROS 記號，因為 Solaris 不支援 SPNEGO。

您必須使用 JDK 1.4 或更新版本，才能利用 Kerberos V5 認證模組的新功能和 Java GSS API，在此 SPNEGO 模組中執行基於 Kerberos 的 SSO。

使用的已知限制

若在 WindowsDesktopSSO 認證時使用的是 Microsoft Internet Explorer 6.x，且瀏覽器不具使用者的 Kerberos/SPNEGO 記號 (符合 WindowsDesktopSSO 模組中配置的 (KDC) 範圍) 之存取權，則在瀏覽器對 WindowsDesktopSSO 模組的認證失敗後，瀏覽器對其他模組的運作也會不正確。導致此問題的直接原因在於當 Internet Explorer 無法執行 WindowsDesktopSSO 模組時，即使出現回呼的提示，瀏覽器也無法將回呼 (屬於其他模組) 傳遞至 Access Manager，除非瀏覽器重新啟動。由於 Null 使用者憑證，因此 WindowsDesktopSSO 之後的所有模組都將失敗。

請參閱下列文件以取得相關資訊：

http://support.microsoft.com/default.aspx?scid=kb;en-us;308074

http://www.wedgetail.com/jcsi/sso/doc/guide/troubleshooting.html#ieNTLM

配置 Windows Desktop SSO

啟用 Windows Desktop SSO 認證是一個具有兩個步驟的程序：

1. 在 Windows 2000 網域控制器中建立一個使用者

2. 設定 Internet Explorer。

要在 Windows 2000 網域控制器中建立一個使用者

步驟

1. 在網域控制器中，建立針對 [Access Manager 認證] 模組的使用者帳號。

   1. 從 [開始] 功能表移至 [程式集] > [管理工具]。

   2. 選取 [使用者與電腦]。

   3. 建立含 Access Manager 主機名稱的新使用者，以作為使用者 ID (登入名稱)。Access Manager 主機名稱不應包含網域名稱。

2. 將使用者帳號與服務提供者名稱產生關聯，並將 keytab 檔案匯出至安裝了 Access Manager 的系統。若要進行上述動作，請執行下列指令：

   ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname.host.keytab ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname .HTTP.keytab

   ktpass 指令接受下列參數：

   hostname。執行 Access Manager 的主機名稱 (不含網域名稱)。

   domainname。Access Manager 網域名稱。

   DCDOMAIN。網域控制器的網域名稱。此名稱可能與 Access Manager 的網域名稱不同。

   password。使用者帳號的密碼。請確定密碼正確，因為 ktpass 不會驗證密碼。

   userName。使用者帳號 ID。它應該與 hostname 相同。

   ---

   備註 –

   請確保兩個 keytab 檔案均已做好安全措施。

   ---

   服務範本值應類似於以下範例：

   服務主體： HTTP/machine1.EXAMPLE.COM@ISQA.EXAMPLE.COM

   Keytab 檔案名稱：/tmp/machine1.HTTP.keytab

   Kerberos 範圍： ISQA.EXAMPLE.COM

   Kerberos 伺服器名稱：machine2.EXAMPLE.com

   使用網域名稱傳回主體：false

   認證層級： 22

3. 重新啟動伺服器。

設定 Internet Explorer

上述步驟適用於 Microsoft Internet Explorer™ 6 及更高版本。若您是使用較早的版本，請確定 Access Manager 在瀏覽器的網際網路區域內，並啟用 Windows 原有的認證 (Native Windows Authentication)。

步驟

1. 在 [工具] 功能表中，移至 [網際網路選項] > [進階/安全性] > [安全性]。

2. 選取 [整合 Windows 認證] 選項。

3. 移至 [安全性] > [本機網際網路]。

   1. 選取 [自訂層級]。在 [使用者認證/登入] 面板中，選取 [僅於內部網路域內自動登入] 選項。

   2. 前往 [網站] 並選取所有選項。

   3. 按一下 [進階] ，並將 Access Manager 加入至本機區域 (若尚未加入的話)。

Windows NT

Access Manager 可以配置為搭配已安裝的 Windows NT /Windows 2000 伺服器使用。Access Manager 會提供 NT 認證的用戶端。

1. 配置 NT 伺服器。如需詳細說明，請參閱 Windows NT 伺服器的文件。

2. 加入和啟用 Windows NT 認證模組之前，您必須先取得和安裝 Samba 用戶端，以便與 Solaris 系統上的 Access Manager 進行通訊。

安裝 Samba Client

為啟用 Windows NT 認證模組，Samba Client2.2.2 必須下載並安裝於下列目錄中：

AccessManager-base/SUNWam/bin

Samba Client 是一種檔案與列印伺服器，用於不需要單獨的 Windows NT/2000 Server 而將 Windows 和 UNIX 機器結合在一起。如需更多資訊及下載，請於以下位置存取：http://wwws.sun.com/software/download/products/3e3af224.html。

Red Hat Linux 隨附 Samba 用戶端，其所在目錄如下：

/usr/bin

若要使用 Linux 的 Windows NT 認證模組，請將用戶端二進位複製到下列 Access Manager 目錄中：

AccessManager-base/sun/identity/bin

如果您有多個介面，則需要額外的配置。多重介面可以透過 smb.conf 檔案中的配置設定，以傳遞到 mbclient。

認證模組實例

根據預設認證模組，可為範圍建立多重認證模組實例。您可個別地新增相同認證模組之已配置的多重實例。

建立新的認證模組實例

步驟

1. 按一下您要新增認證模組實例的範圍名稱。

2. 選取 [認證] 標籤。

   ---

   備註 –

   [管理員認證配置] 按鈕僅定義管理員的認證服務。若管理員的認證模組必須與一般使用者的認證模組不同，則可以使用此屬性。配置於此屬性中的模組將在存取 Access Manager 主控台時被挑選出來。

   ---

3. 按一下 [模組實例] 清單中的 [新建]。

4. 輸入認證模組實例的名稱。該名稱必須是唯一的。

5. 選取範圍之認證模組類型的 [類型]。

6. 按一下 [建立]。

7. 按一下剛建立的模組實例名稱並編輯該模組的特性。請參閱線上說明中的「認證」一節，以取得每個模組類型特性的定義。

8. 重複這些步驟以新增多重模組實例。

認證鏈接

可以配置一個以上的認證模組，因此使用者必需傳送認證憑證給其全體。這稱為認證鏈接。Access Manager 中的認證鏈接可使用整合於認證服務中的 JAAS 框架來達成。模組鏈結配置於認證配置服務底下。

建立新的認證鏈接

步驟

1. 按一下您要新增認證鏈接的範圍名稱。

2. 選取 [認證] 標籤。

3. 按一下 [認證鏈接] 清單中的 [新建]。

4. 輸入此認證鏈接的名稱。

5. 按一下 [建立]。

6. 按一下 [新增] 以定義您要包括於鏈接中的認證模組實例。若要這麼做，請由實例清單中選取模組實例名稱。顯示於此清單中的模組實例名稱是在模組實例屬性中所建立的。

7. 選取鏈接的條件。這些旗標為定義這些旗標的認證模組建立實施準則。此實施具有階層結構。[必要的] 為最高階層而 [可選的] 為最低階層：

   必要條件

   模組實例必須成功。若成功，認證將繼續進行至 [認證鏈接] 清單中的下一個選項。如果失敗，控制立即返回應用程式 (認證將不會繼續 [認證鏈接] 清單中的下一個選項)。

   必要的

   此模組的認證過程必須成功。若鏈接中任何一個必要模組失敗了，則整個認證鏈接將完全失敗。然而，無論必要模組成功與否，控制將繼續進行至鏈接中的下一個模組。

   充足的

   模組實例不必要成功。若其確實成功，控制將立即返回應用程式 (認證將不進行至模組實例清單的下一個選項)。若失敗，認證將繼續進行至 [認證鏈接] 清單中的下一個選項。

   可選的

   模組實例不必要成功。無論成功或失敗，認證都將繼續進行至 [認證鏈接] 清單中的下一個選項。

8. 輸入鏈接的選項。允許此模組使用的其他選項，格式為鍵=值對。多重選項由空格分隔。

9. 定義下列屬性：

   成功登入 URL

   指定使用者認證成功後將重新導向至的 URL。

   登入失敗 URL

   指定使用者認證失敗後將重新導向至的 URL。

   認證後處理類別

   定義於登入成功或失敗後用來自訂認證後處理的 Java 類別名稱。

10. 按一下 [儲存]。

認證類型

認證服務提供不同的方式讓認證套用。這些不同的認證方法可藉由指定登入 URL 參數或透過認證 API 來獲取 (請參閱使用者指南中「Sun Java System Access Manager 7 2005Q4 Developer’s Guide」中的第 5 章「Using Authentication APIs and SPIs」以取得更多資訊) 。配置認證模組之前，必須先修改 [核心認證] 服務屬性 [範圍認證模組]，使之包括特定的認證模組名稱。

認證配置服務用於為以下任一認證類型定義認證模組：

• 基於範圍的認證

• 基於組織的認證

• 基於角色的認證

• 基於服務的認證

• 基於使用者的認證

• 基於認證層級的認證

• 基於模組的認證

為這些認證類型之一定義認證模組後，便可以將此模組配置為根據認證程序成敗提供重新導向 URL 以及處理後的 Java 類別規格。

認證類型決定存取的方式

這些方法的每一種，使用者都可以核准或是拒絕認證。一旦做出決定，每種方法都會依照此程序。步驟 1 至步驟 3 依照成功的認證；步驟 4 依照成功與失敗兩者的認證。

1. Access Manager 確認認證的使用者是否定義於 Directory Server 資料存放區中，且設定檔是否於使用中。

   核心認證模組中的使用者設定檔屬性可以定義為必需、動態、隨使用者別名動態變化或忽略。認證成功之後，Access Manager 會確認 Directory Server 資料庫中是否定義了要認證的使用者，並且如果使用者設定檔值為必需，再確認設定檔是否在使用中。這是預設情形。如果使用者設定檔為動態配置，認證服務將會在 Directory Server 資料庫中建立使用者設定檔。若使用者設定檔設定為忽略，將不會完成使用者驗證。

2. 認證處理後 SPI 的執行完成。

   核心認證模組包含認證處理後類別屬性，其中可能納入認證處理後類別名稱為其值。AMPostAuthProcessInterface 是處理後介面。它可以執行於成功或失敗認證上或是在登出後。

3. 下列特性會加入階段作業記號，或在階段作業記號中更新，而使用者的階段作業會啟動。

   realm。這是使用者歸屬的範圍 DN。

   Principal。這是使用者的 DN。

   Principals。這是使用者已認證過的名稱清單。此屬性可能有一項以上的值定義為以管道分隔的清單。

   UserId。這是使用者的 DN (與模組傳回的相同)，或在非 LDAP 或 Membership 模組的情況下，為使用者名稱。(所有主體都必需對映到相同的使用者。UserID 為它們所對映之使用者 DN。)

   ---

   備註 –

   此特性可為非 DN 值。

   ---

   UserToken。這是使用者名稱。(所有主體都必需對映到相同的使用者。UserToken 為它們所對映之使用者名稱。)

   Host。這是用戶端的主機名稱或是 IP 位址。

   authLevel。這是使用者已認證過的最高層級。

   AuthType。這是已認證其使用者的認證模組之以直線符號分隔的清單 (例如，module1|module2|module3)。

   clientType。這是用戶端瀏覽器的裝置類型。

   Locale。這是用戶端的語言環境。

   CharSet。這是決定用於用戶端的字元集。

   Role。僅適用於基於角色的認證，此為使用者歸屬的角色。

   Service。僅適用於基於服務的認證，此為使用者歸屬的服務。

4. 在成功或失敗認證後，Access Manager 會尋找重新導向使用者的位置之相關資訊。

   URL 重新導向目的位置可以是 Access Manager 頁面或 URL。重新導向會依據優先順序進行，Access Manager 則根據認證方法及認證是否已成功或已失敗，依此優先順序尋找重新導向。此順序詳述於下列認證方法章節的重新導向部分。

URL 重新導向

於認證配置服務中，您可為成功或失敗的認證指定 URL 重新導向。URL 本身在此服務的 [登入成功 URL] 和 [登入失敗 URL] 屬性中定義。為了啟用 URL 重新導向，您必須將認證配置服務加入您的範圍，使之可用於角色、範圍或使用者的配置。在加入認證配置服務時，請確定您加入的是認證模組，例如 LDAP - REQUIRED。

基於範圍的認證

此認證方法可讓使用者對一個範圍或子範圍進行認證。此為 Access Manager 的預設認證方法。範圍的認證方法是透過對範圍註冊核心認證模組，並定義範圍認證配置屬性來設定的。

基於範圍的認證登入 URL

藉由定義 realm 參數或 domain 參數，可於使用者介面登入 URL 中指定認證的範圍。由下列項目決定認證的請求範圍，其優先順序為：

1. domain 參數。

2. realm 參數。

3. 管理服務中的 DNS 別名屬性值。

   於呼叫正確的範圍後，將從核心認證服務的範圍認證配置屬性擷取使用者將認證的認證模組。用來指定並初始基於範圍的認證的登入 URL 為：

   http://server_name.domain_name:port/amserver/UI/Login http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name

   若無定義的參數，則將從指定於登入 URL 中的伺服器主機和網域決定範圍。

基於範圍的認證重新導向 URL

於基於組織的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於範圍的認證重新導向 URL

成功的基於範圍的認證重新導向 URL 是依優先順序檢查下列位置來決定：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於範圍的認證重新導向 URL

失敗的基於範圍的認證重新導向 URL 是以下列順序檢查下列位置來決定：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

若要配置基於範圍的認證

要為範圍設定認證模組，先對範圍新增核心認證服務。

若要配置範圍的認證屬性

步驟

1. 瀏覽至您要新增認證鏈接的範圍。

2. 按一下 [認證] 標籤。

3. 由下拉式功能表選取 [預設認證鏈接]。

4. 由下拉式功能表選取 [管理認證鏈接]。如果需要管理員的認證模組與使用者的認證模組有所不同，則可以使用此屬性。預設認證模組為 LDAP。

5. 定義了認證鏈接之後，按一下 [儲存]。

基於組織的認證

此認證類型僅可套用至以「舊有」模式安裝的 Access Manager 部署。

此認證方法可讓使用者對一個組織或子組織進行認證。它是 Access Manager 的預設認證方法。用於組織的認證方法是透過註冊核心認證模組到組織，並定義組織認證配置屬性來設定的。

基於組織的認證登入 URL

藉由定義 org 參數或 domain 參數，可以在使用者介面登入 URL 中指定認證的組織。用於認證的請求組織從下列決定，優先順序為：

1. domain 參數。

2. org 參數。

3. 管理服務中 DNS 別名 (組織別名) 屬性的值。

   在呼叫正確的組織後，會從核心認證服務的組織認證配置屬性擷取使用者將認證的認證模組。用於指定和初始化基於組織的認證的登入 URL 為：

   http://server_name.domain_name:port/amserver/UI/Login http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name http://server_name.domain_name:port/amserver/UI/Login?org=org_name

   如果沒有定義的參數，將從登入中的伺服器主機和網域決定組織。

基於組織的認證重新導向 URL

於基於組織的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於組織的認證重新導向 URL

成功的基於組織的認證，其重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 對使用者組織項目的 iplanet-am-auth-login-success-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 使用者組織項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於組織的認證重新導向 URL

失敗的基於組織的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 對使用者組織項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 針對使用者組織項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

若要配置基於組織的認證

要為組織設定認證模組，先為組織加入核心認證服務。

若要配置組織的認證屬性

步驟

1. 瀏覽至您要新增認證鏈接的組織。

2. 按一下 [認證] 標籤。

3. 由下拉式功能表選取 [預設認證鏈接]。

4. 由下拉式功能表選取 [管理認證鏈接]。如果需要管理員的認證模組與使用者的認證模組有所不同，則可以使用此屬性。預設認證模組為 LDAP。

5. 定義了認證鏈接之後，按一下 [儲存]。

基於角色的認證

此認證方法可讓使用者對組織或是子組織之中的角色 (靜態或篩選) 進行認證 。

於認證配置服務可註冊為實例或角色之前，必需先註冊至範圍中。

若要成功認證，使用者必需屬於該角色，並且必需認證到為該角色配置的認證配置服務實例中定義的每個模組。對每個基於角色的認證之實例，可指定下列屬性：

衝突解決層級。 這為認證配置服務實例 (為包含相同使用者的不同角色所定義) 設定優先層級。例如，如果同時將 User1 指定給 Role1 與 Role2，可設定較高的衝突解決層級給 Role1，以便在使用者嘗試認證時，Role1 將具有較高的成功或失敗重新導向及認證後程序優先順序。

認證配置。這會定義針對角色的認證程序配置之認證模組。

登入成功 URL。此項定義在成功認證上重新導向使用者的 URL。

登入失敗 URL。此項定義在失敗認證上重新導向使用者的 URL。

認證處理後類別。此將定義後認證介面。

基於角色的認證登入 URL

透過定義角色參數，可以在使用者介面登入 URL 中指定基於角色的認證。在呼叫正確的角色後，會從為角色定義的認證配置服務實例擷取使用者將認證的認證模組。

用於指定和初始化基於角色的認證的登入為：

http://server_name.domain_name:port/amserver/UI/Login?role=role_name

http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&role=role_name

如果未配置範圍參數，會從指定於登入 URL 自身中的伺服器主機和網域決定角色所屬的範圍。

基於角色的認證重新導向 URL

於基於角色的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於角色的認證重新導向 URL

成功的基於角色的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 已對其認證使用者之角色的 iplanet-am-auth-login-success-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 已認證使用者另一個角色項目的 iplanet-am-auth-login-success-url 屬性之 clientType 自訂檔案中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備案。)

6. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

7. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

9. 已對其認證使用者的角色之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備案。)

11. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

12. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於角色的認證重新導向 URL

失敗的基於角色的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 已對其認證使用者之角色的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 已認證使用者另一個角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備案。)

6. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

7. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

8. 於使用者設定檔 (amUser.xml) 之 iplanet-am-user-failure-url 屬性中設定的 URL。

9. 已對其認證使用者的角色之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備案。)

11. 設定於使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性中的 URL。

12. 於 iplanet-am-auth-login-failure-url 屬性中設定的 URL，作為全域預設值。

若要配置基於角色的認證

步驟

1. 瀏覽至您將新增認證配置服務的範圍 (或組織)。

2. 按一下 [主旨] 標籤。

3. 篩選的角色或角色。

4. 選取要設定認證配置的角色。

   若尚未將認證配置服務新增至角色，請按一下 [新增]，選取 [認證服務]，再按一下 [下一步]。

5. 由下拉式功能表選取您要啟用的 [預設認證鏈接]。

6. 按一下 [儲存]。

   ---

   備註 –

   如果您要建立新的角色，系統不會自動為此角色指定認證配置服務。請確定先選取角色設定檔頁面頂部的 [認證配置服務] 選項，然後再建立角色。

   啟用基於角色的認證後，可以保留 LDAP 認證模組做為預設方式，因為無需配置成員身份。

   ---

基於服務的認證

此認證方法可讓使用者對特定的服務或註冊至範圍或子範圍的應用程式進行認證。服務配置為認證配置服務中的服務實例並且與一個實例名稱相關。若要成功認證，使用者必需認證到每個為服務配置的認證配置服務實例中定義的模組。對每個基於服務的認證之實例，可指定下列屬性：

認證配置。這會定義針對 service 的認證程序配置之認證模組。

登入成功 URL。此項定義在成功認證上重新導向使用者的 URL。

登入失敗 URL。此項定義在失敗認證上重新導向使用者的 URL。

認證處理後類別。此將定義後認證介面。

基於服務的認證登入 URL

透過定義服務參數，可以在使用者介面登入中指定基於服務的認證。在呼叫服務後，會從為服務定義的認證配置服務實例擷取使用者將認證的認證模組。

用於指定和初始化基於服務的認證的登入 URL 為：

http://server_name.domain_name:port/amserver/UI/

Login?service=auth-chain-name

和

http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&service=auth-chain-name

e

如果沒有配置 org 參數，將從指定於登入 URL 自身中的伺服器主機和網域決定範圍。

基於服務的認證重新導向 URL

於基於服務的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於服務的認證重新導向 URL

成功的基於服務的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 已對其認證使用者之服務的 iplanet-am-auth-login-success-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

7. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

9. 已對其認證使用者的服務之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

10. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

11. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

12. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於服務的認證重新導向 URL

失敗的基於服務的認證，其重新導向是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 已對其認證使用者之服務的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

6. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

7. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-failure-url 屬性中的 URL。

9. 已對其認證使用者的服務之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

10. 於使用者角色項目之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

11. 設定於使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性中的 URL。

12. 於 iplanet-am-auth-login-failure-url 屬性中設定的 URL，作為全域預設值。

若要配置基於服務的認證

加入認證配置服務之後，為服務設定認證模組。若要如此，請：

步驟

1. 選擇您要配置基於服務的認證的範圍。

2. 按一下 [認證] 標籤。

3. 建立認證模組實例。

4. 建立認證鏈接。

5. 按一下 [儲存]。

6. 若要存取範圍的基於服務的認證，請輸入下列位址：

   http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&service=auth-chain-name

基於使用者的認證

此認證方法可讓使用者對特別為使用者配置的認證程序進行認證。該程序被配置為使用者設定檔中使用者認證配置屬性的值。若要成功認證，使用者必需認證到每個定義的模組。

基於使用者的認證登入 URL

透過定義使用者參數，可以在使用者介面登入中指定基於使用者的認證。在呼叫正確的使用者後，將從為使用者定義的使用者認證配置服務實例擷取使用者將認證的認證模組。

用於指定和初始化基於角色的認證的登入為：

http://server_name.domain_name:port/amserver/UI/Login?user=user_name

http://server_name.domain_name:port/amserver/UI/Login?org=org_name&user=user_name

如果沒有配置的範圍參數，會從指定於登入 URL 自身中的伺服器主機和網域決定角色所屬的範圍。

使用者別名清單屬性

在接收基於使用者的認證的請求時，認證服務會先驗證使用者是有效的使用者，然後為其擷取認證配置資料。在有一個以上有效使用者設定檔與使用者參數有關的情形時，所有的設定檔必需對映到指定的使用者。使用者設定檔中的使用者別名屬性 (iplanet-am-user-alias-list ) 是能定義其他屬於該使用者的設定檔之位置。如果對映失敗，則使用者會受到有效階段作業的拒絕。異常將是若其中一個使用者為一個頂層管理，則使用者對映驗證並未執行並給予使用者最高的管理權限。

基於使用者的認證重新導向 URL

於基於使用者的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於使用者的認證重新導向 URL

成功的基於使用者的認證，其重新導向是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於使用者的認證重新導向 URL

失敗的基於使用者的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

若要配置基於使用者的認證

步驟

1. 瀏覽至您要為使用者配置認證的範圍。

2. 按一下 [主旨] 標籤並按一下 [使用者]。

3. 按一下您要修改的使用者名稱

   [使用者設定檔] 隨即顯示。

   ---

   備註 –

   如果您要建立新的使用者，系統不會自動為此使用者指定認證配置服務。請確定先於服務設定檔中選取 [認證配置服務] 選項，然後再建立使用者。如果未選取此選項，使用者將無法繼承為角色定義的認證配置。

   ---

4. 於使用者認證配置屬性中，選取您要套用的認證鏈接。

5. 按一下 [儲存]。

基於認證層級的認證

每個認證模組均可與其認證層級的整數值相關聯。藉著按一下 [服務配置] 中認證模組的 [特性] 箭頭，並變更模組之 [認證層級] 屬性的相應值，可以指定認證層級。使用者在一個或多個認證模組中經過認證後，較高的認證層級為使用者定義較高的信任層級。

對模組成功認證使用者後，將在使用者的 SSO 記號上設定認證層級。若必須對多個認證模組認證使用者，同時也成功完成這些認證，將會在使用者的 SSO 記號中設定最高認證層級值。

若使用者嘗試存取服務，服務可檢查使用者的 SSO 記號中之認證層級，來決定是否允許使用者進行存取。然後，它將重新導向使用者以標記的認證層級通過認證模組。

使用者還可以使用特定的認證層級存取認證模組。例如，某使用者使用以下語法執行登入：

http://hostname:port/deploy_URI/UI/Login?authlevel=

auth_level_value

其認證層級大於或等於 auth_level_value 的所有模組將顯示為認證功能表，供使用者選擇。如果僅找到一個相符的模組，則會直接顯示此認證模組的登入頁面。

此認證方法可讓管理員指定可認證身份的模組的安全層級。每個認證模組都有個別的認證層級屬性，而此屬性的值可以被定義為任何有效的整數。藉由認證基於層級的認證，認證服務使用包含認證模組具有等於或大於參數中指定值的認證層級的功能表顯示模組登入頁。使用者可從現有的清單選取一個模組。一旦使用者選取模組後，剩餘的程序則根據基於模組的認證。

基於認證層級的認證登入 URL

透過定義 參數，可以在使用者介面登入中指定認證基於層級的認證。在以模組的相關清單呼叫登入螢幕後，使用者必需選擇一項來認證。用於指定和初始化認證基於層級的認證的登入為：

http://server_name.domain_name:port/amserver/UI/Login?authlevel=authentication_level

和

http://server_name.domain_name:port/amserver/UI/

Login?realm=realm_name&authlevel=authentication_level

如果沒有配置 realm 參數，將從指定於登入 URL 自身中的伺服器主機和網域決定使用者所屬的範圍。

認證基於層級的認證重新導向 URL

於認證基於層級的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於認證層級的認證重新導向 URL

成功的基於認證層級的認證重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 對使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者設定檔 (amUser.xml) 中的 iplanet-am-user-success-url 屬性中設定一個 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於認證層級的認證重新導向 URL

失敗的基於認證層級的認證重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

基於模組的認證

使用者可以使用以下語法存取特定認證模組：

http://hostname:port/deploy_URI/UI/Login?module=

module_name

存取認證模組之前，必須先修改 [核心認證] 服務屬性 [範圍認證模組] ，使之包括此認證模組名稱。如果該屬性中未包括此認證模組名稱，使用者嘗試認證時，系統將顯示 [認證模組遭拒] 頁面。

此認證方法可讓使用者指定他們要認證的模組。指定的模組必須註冊至使用者存取的範圍或子範圍。此將配置於範圍核心認證服務的範圍認證模組屬性。在接收此項基於模組的認證請求時，認證服務會驗證模組如說明一樣正確配置，如果未定義模組，使用者會被拒絕存取。

基於模組的認證登入 URL

透過定義模組參數，可以在使用者介面登入中指定基於模組的認證。用於指定和初始化基於模組的認證的登入 URL 為：

http://server_name.domain_name:port/amserver/UI/Login?module=authentication_module_name

http://server_name.domain_name:port/amserver/UI/

Login?org=org_name&module=authentication_module_name

如果沒有配置的 org 參數，將從指定於登入 URL 自身中的伺服器主機和網域決定使用者所屬的範圍。

基於模組的認證重新導向 URL

於模組型認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於模組的認證重新導向 URL

成功的基於模組的認證，其重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者設定檔 (amUser.xml) 中的 iplanet-am-user-success-url 屬性中設定一個 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於模組的認證重新導向 URL

失敗的基於模組的認證，其重新導向是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 對使用者角色項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

5. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

8. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

9. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

使用者介面登入 URL

輸入登入 URL 到網路瀏覽器的位置列可存取認證服務使用者介面。此 URL 為：

http://AccessManager-root/.domain_name:port /service_deploy_uri /UI/Login

於安裝期間，將 service_deploy_uri 配置為 amserver。本文件中將使用此預設的服務部署 URI。

使用者介面登入 URL 亦可與登入 URL 參數隨附一起，以定義指定的認證方法或成功/失敗的認證重新導向 URL。

登入 URL 參數

URL 參數是附加到 URL 尾端的名稱/值對。參數以問號開頭 (？)，形式為 name=value。一些參數可以合併到一個登入中，例如：

http://server_name.domain_name:port/amserver/UI/

Login?module=LDAP&locale=ja&goto=http://www.sun.com

如果有一個或多個參數，會以 & 符號做為分隔符號。不過組合必須遵守下列指導方針：

• 每個參數在一個 URL 中只能出現一次。例如：module=LDAP&module=NT 是不可以計算的。

• org 參數與 domain 參數兩者皆可決定登入範圍。在這種情形下，兩個參數中只應在登入 URL 中使用一個。如果兩者都使用了而且未指定優先順序，只有其中一個會生效。

• 參數 user、role、service、module 及 authlevel 用於定義認證模組 (根據其各自的準則)。因此，只應於登入 URL 中使用其中之一。如果使用了一個以上而且未指定優先順序，只有其中一個會生效。

下節描述參數在附加到使用者介面登入 URL，以及鍵入網路瀏覽器的位置列時，可達到的多種認證功能。

若要簡化在範圍內發佈的認證 URL 和參數，管理員可配置一個具備單一 URL 的 HTML 網頁，其中包含所有已配置的認證方法的更為複雜的登入 URL。

goto 參數

goto=successful_authentication_URL 參數會覆寫認證配置服務之 [登入成功 URL] 中定義的值。當達到成功認證時，它會連結到指定的 URL。使用者登出時，也可以使用 goto= logout_URL 參數連結至指定的 URL。例如，成功的認證 URL：

http://server_name.domain_name:port/amserver/

UI/Login?goto=http://www.sun.com/homepage.html

範例的 goto 登出 URL：

http://server_name.domain_name:port/amserver/

UI/Logout?goto=http://www.sun.com/logout.html.

Access Manager 尋找成功認證重新導向 URL 時有一項優先順序。因為這些重新導向 URL 及其順序是以認證方法為基礎，此順序 (及相關資訊) 於「認證類型」一節中有詳細說明。

gotoOnFail 參數

gotoOnFail=failed_authentication_URL 參數會覆寫認證配置服務之 [登入失敗 URL] 中定義的值。如果使用者認證失敗，它將會連結到指定的 URL。範例的 gotoOnFail URL 為：http:// server_name.domain_name:port /amserver/UI/Login?gotoOnFail=http://www.sun.com/auth_fail.html。

Access Manager 使用優先順序尋找失敗的認證重新導向 URL。因為這些重新導向 URL 及其順序是以認證方法為基礎，此順序 (及相關資訊) 於「認證類型」一節中有詳細說明。

realm 參數

org=realmName 參數允許使用者認證成為指定範圍中的使用者。

當使用者嘗試以 realm 參數認證時，若其不是指定範圍的成員，就會收到錯誤訊息。如果以下全部皆為 TRUE 時，可以於 Directory Server 中動態建立使用者設定檔：

• 核心認證服務中的使用者設定檔屬性必須設定為動態或隨使用者別名動態變化。

• 使用者必須成功認證為需要的模組。

• Directory Server 中還沒有使用者的設定檔。

因為這項參數，將顯示正確的登入頁 (根據範圍及其系統語言設定)。若未設定此參數，預設值為頂層範圍。例如：org URL 可以是：

http://server_name.domain_name:port/amserver/UI/Login?realm=sun

org 參數

org=orgName 參數允許使用者認證成為指定組織中的使用者。

當使用者嘗試以 org 參數認證時，若其不是指定組織的成員，就會收到錯誤訊息。如果以下全部皆為 TRUE 時，可以於 Directory Server 中動態建立使用者設定檔：

• 核心認證服務中的使用者設定檔屬性必須設定為動態或隨使用者別名動態變化。

• 使用者必須成功認證為需要的模組。

• Directory Server 中還沒有使用者的設定檔。

因為這項參數，將顯示正確的登入頁根據其組織與系統語言設定。如果未設定此參數，預設值為頂層組織。例如：org URL 可以是：

http://server_name.domain_name:port/amserver/UI/Login?org=sun

user 參數

user=userName 參數基於使用者設定檔之 [使用者認證配置] 屬性中配置的模組進行強制認證。例如，可將一個使用者設定檔配置為使用憑證模組進行認證，而將另一個使用者設定檔配置為使用 LDAP 模組進行認證。新增此參數會將使用者傳送到其配置的認證程序，而非為其組織配置的方法。例如：

http://server_name.domain_name:port/amserver/UI/Login?user=jsmith

role 參數

role=roleName 參數會將使用者傳送至指定角色配置的認證程序。當使用者嘗試以參數認證時，若不是指定角色的成員，則會收到錯誤訊息。例如：

http://server_name.domain_name:port/amserver/UI/Login?role=manager.

locale 參數

Access Manager 具有為認證程序及主控台本身顯示本土化的畫面 (譯為非英語的語言) 的功能。locale=localeName 允許指定的語言環境優先於任何其他定義的語言環境。以下列位置、指定順序搜尋配置後，登入語言環境會由用戶端顯示：

1. 登入 URL 中的語言環境參數值

   locale=localeName 參數的值優先於所有其他定義的語言環境。

2. 使用者設定檔中定義的語言環境

   如果沒有 URL 參數，會根據在使用者設定檔的 [使用者喜好的語言] 屬性中設定的值顯示語言環境。

3. 在標頭中定義的語言環境

   語言環境由網路瀏覽器所定義。

4. [核心認證服務] 中定義的語言環境

   這是在 [核心認證] 模組中 [預設認證語言環境] 屬性的值。

5. 在 [平台服務] 中定義的語言環境

   這是在 [平台] 服務中 [平台語言環境] 屬性的值。

作業系統語言環境

由此等級順序導出的語言環境儲存於使用者的階段作業記號中，且 Access Manager 僅用它來載入本地化的認證模組。成功認證後，會使用於使用者設定檔之使用者喜好的語言屬性中定義的語言環境。如果都沒有設定，將繼續保持認證所使用的語言環境。例如：

http://server_name.domain_name:port/amserver/UI/Login?locale=ja.

如何本地化畫面文字和錯誤訊息的資訊可於 Access Manager 中找到。

module 參數

module=moduleName 參數允許經由指定的認證模組進行認證。可指定任何模組，即使必須先於範圍之下註冊模組，此範圍為使用者所屬且選取為核心認證模組中該範圍認證的其中一個。例如：

http://server_name.domain_name:port/amserver/UI/Login?module=Unix.

在參數中使用認證模組名稱時要區分大小寫。

service 參數

service=serviceName 參數允許經由服務已配置的認證方案來認證使用者。可配置不同的認證方案給使用 [認證配置] 服務的不同服務。例如，當範圍員工目錄應用程式可能僅需要 LDAP 認證模組的同時，一個線上薪資應用程式可能需要使用更安全憑證認證模組來進行認證。認證方案可以被配置、命名給這些服務的每一項。例如：

http://server_name.domain_name:port/amserver/UI/Login?service=sv1.

認證配置服務用於定義方案給以服務為基礎的認證。

arg 參數

arg=newsession 參數用於結束使用者的目前階段作業，並開始新的階段作業。認證服務會銷毀使用者現有的階段作業記號，並接受一個請求執行新的登入。此選項通常用於 [匿名認證] 模組中。使用者先以匿名階段作業認證，然後點一下註冊或登入連結。例如：

http://server_name.domain_name:port/amserver/UI/Login?arg=newsession。

authlevel 參數

authlevel=value 參數會指示認證服務呼叫認證層級等於或大於指定認證層級值的模組。每個認證模組都使用固定的整數認證層級定義。例如：

http://server_name.domain_name:port/amserver/UI/Login?authlevel=1.

認證層級是於每個模組的特定設定檔中設定。。

domain 參數

此參數可讓使用者登入由指定的網域所標識的範圍。指定的網域必須符合定義於範圍設定檔之網域名稱屬性中的值。例如：

http://server_name.domain_name:port/amserver/UI/Login?domain=sun.com。

當使用者嘗試以 org 參數認證時，若其不是指定網域/範圍的成員，就會收到錯誤訊息。如果以下各點全部皆為 TRUE 時，可以於 Directory Server 中動態建立使用者設定檔：

• 核心認證服務中的使用者屬性必須設定為動態或隨使用者別名動態變化 。

• 使用者必須成功認證為需要的模組。

• Directory Server 中還沒有使用者的設定檔。

iPSPCookie 參數

iPSPCookie=yes 參數允許使用者以永久性 Cookie 登入。永久性 Cookie 在瀏覽器視窗關閉後仍然繼續存在。要使用此參數，使用者登入的範圍必須在其核心認證模組中啟用永久性 Cookie。一旦使用者認證及瀏覽器關閉，使用者可以新的階段作業登入，並將導向至控制台而不需重新認證。在核心服務中指定的永久性 Cookie 最大時間屬性消逝前，該功能都有效。例如：

http://server_name.domain_name:port/amserver/UI/Login?org=example&iPSPCookie=yes

IDTokenN 參數

此參數可讓使用者藉由 URL 或 HTML 形式傳送認證憑證。利用 IDTokenN= value 參數，使用者毋須存取認證服務使用者介面便可被認證。此程序稱為零頁登入。零頁登入只適用於使用單一登入頁的認證模組。IDToken0、IDToken1、...、IDTokenN 值對映至認證模組登入頁面上的欄位。例如，LDAP 認證模組可能將 IDToken1 用於 userID 資訊、將 IDToken2 用於密碼資訊。在這種情形下，LDAP 模組 IDTokenN URL 將是：

http://server_name.domain_name:port/amserver/UI/

Login?module=LDAP&IDToken1=userID&IDToken2=password

(如果 LDAP 是預設認證模組，可以忽略module=LDAP。)

就匿名認證而言，登入 URL 參數會是：

http://server_name.domain_name:port/amserver/UI/Login?module=Anonymous&IDToken1=anonymousUserID。

名稱為 Login.Token0、 Login.Token1、 ...、 Login.TokenN (來自上一個版本) 的記號仍受支援，但將於未來版本中停用。建議您使用新的 IDTokenN 參數。

帳號鎖定

認證服務提供一項功能，於其中使用者將在 n 次失敗後被鎖定，無法認證。這項功能預設為關閉，但可以使用 Access Manager 主控台啟用。

只有拋出有效密碼異常的模組可以充分利用帳號鎖定功能。

核心認證服務包含啟用和自訂此功能的屬性，包括但不限於：

• 會啟用帳號鎖定的登入失敗鎖定模式。

• 登入失敗鎖定計數 定義使用者被鎖定前可嘗試認證的次數。此計數只對每個使用者有效；相同的使用者在賦予計數時必需失效，而後該使用者會被鎖定。

• 登入失敗鎖定間隔定義使用者被鎖定前，必須完成的登入失敗鎖定計數值之時間數 (以分鐘計)。

• 傳送鎖定通知的電子郵件位址指定使用者鎖定通知將被傳送的電子郵件位址。

• N 次失敗後警告使用者指定對使用者顯示警告訊息前，可發生的認證失敗次數。這可讓管理員設定在使用者被警告即將被鎖定後，額外的登入嘗試次數。

• 登入失敗鎖定持續時間定義鎖定使用者後，再次嘗試認證前必須等待的時間 (以分鐘為單位)。

• 鎖定屬性名稱定義使用者設定檔中要設定為對實際鎖定無效的 LDAP 屬性。

• 鎖定屬性值定義鎖定屬性名稱中指定的 LDAP 屬性將設定為：非作用中或作用中。

電子郵件通知將被傳送到與任何帳號鎖定有關的管理員。帳號鎖定活動也會被記錄。

當於 Microsoft® Windows 2000 作業系統上使用此功能，如需特殊指示時，請參閱「附錄 A，AMConfig.properties 檔案」中的「簡易郵件傳輸協定 (SMTP)」。

Access Manager 支援兩種帳號鎖定類型：實體鎖定與記憶體鎖定，定義於下列章節中。

實體鎖定

這是 Access Manager 的預設鎖定行為。藉由變更使用者設定檔中的 LDAP 屬性為非作用中，啟動鎖定。鎖定屬性名稱屬性定義用於鎖定作用的 LDAP 屬性。

以別名為名稱的使用者是藉由配置 LDAP 設定檔中使用者別名清單屬性 (amUser.xml 中的 iplanet-am-user-alias-list) ，以對映至現有 LDAP 使用者設定檔的使用者。藉由新增 iplanet-am-user-alias-list 至 核心認證服務之 [別名搜尋屬性名稱] 欄位，可驗證以別名為名稱的使用者。也就是說，如果一個別名使用者被鎖定，被別名化的使用者其實際設定檔將被鎖定。這只適用於使用 LDAP 和 Membership 之外的認證模組的實體鎖定。

記憶體鎖定

將登入失敗鎖定持續時間屬性的值變更為大於零，可啟用記憶體鎖定。啟用後，使用者帳號會被鎖定在記憶體中一段指定的時間 (以分鐘計)。經過該段時間後，將解除鎖定帳號。以下是使用記憶體鎖定功能時，一些特殊的考量：

• 若重新啟動了 Access Manager，所有鎖定於記憶體中的帳號都會被解除。

• 若使用者的帳號被鎖定在記憶體中，而管理員將帳號鎖定機制變更為實際鎖定 (以將鎖定持續時間設回零的方式進行)，則使用者帳號將在記憶體中被解除鎖定，鎖定計數也會重設。

• 記憶體鎖定後，當使用 LDAP 與成員身份之外的認證模組時，若使用者嘗試以正確的密碼登入，則將傳回使用者於此範圍中並無設定檔訊息。錯誤，會傳回，而不是傳回使用者非作用中。錯誤。

如果在使用者設定檔中設定了 Failure URL 屬性，則鎖定警告訊息和指出使用者帳號已遭鎖定的訊息都不會顯示，系統會將使用者重新導向至定義的 URL。

認證服務容錯移轉

若主伺服器因為硬體或軟體問題或伺服器暫時關機而失敗，則認證服務容錯移轉會自動將認證請求重新導向至次伺服器中。

認證內容必須先在可使用認證服務的實例上建立。如果此實例無法使用，則可透過認證錯誤修復機制在上建立認證內容。認證內容會依下列順序檢查伺服器可用性：

1. 認證服務 URL 會傳到 AuthContext API。例如：

   AuthContext(orgName, url)

   如果使用 API，僅使用 URL 參照的伺服器。即使伺服器上可以使用該認證服務，也不會發生錯誤修復。

2. 認證內容將檢查定義於 AMConfig.properties 檔案的 com.iplanet.am.server* 屬性中的伺服器。

3. 如果步驟 2 失敗，則認證內容會從可取得命名服務的伺服器查詢平台清單。在共用一個實例安裝通常是為了錯誤修復的多重實例時，會自動建立此平台。

   例如，如果平台清單包含 Server1、Server2 及 Server3 的 URL，則認證內容會在 Server1 、Server2 及 Server3 間循環，直到成功認證其中一個為止。

   平台清單有時不是從同一個伺服器取得，而是視「命名」服務可用性而異。另外，「命名」服務的錯誤修復可能先發生。將多重命名服務 URL 指定於 com.iplanet.am.naming.url 特性中 (在 AMConfing.properties 之中)。第一個可用的「命名」服務 URL 會用來辨識伺服器，包含將發生錯誤修復的伺服器清單 (位於其平台伺服器清單中)。

完全合格的網域名稱對映

完全合格的網域名稱 對映會啟用認證服務以便在使用者輸入錯誤的時採取修正行動 例如指定部分的主機名稱或位址存取受保護的資源。FQDN 對映是藉由修改 AMConfig.properties 檔案中的 com.sun.identity.server.fqdnMap 屬性來啟用。指定此屬性的格式為：

com.sun.identity.server.fqdnMap[invalid-name ]=valid-name

值 invalid-name 可以是使用者輸入的無效 FQDN 主機名稱，valid-name 則為篩選器將重新導向使用者的目標實際主機名稱。可以指定的對映數不限 (如程式碼範例 1-1 所說明的)，只要它們符合明確指出的要求即可。若未設定此特性，使用者將被傳送到在 com.iplanet.am.server.host= server_name 特性中配置的預設伺服器名稱 (也可在 AMConfig.properties 檔案中找到)。

範例 7–1 AMConfig.properties 中的 FQDN 對映屬性

com.sun.identity.server.fqdnMap[isserver]=isserver.mydomain.com

com.sun.identity.server.fqdnMap[isserver.mydomain]=isserver.mydomain.com

com.sun.identity.server.fqdnMap[

            IP address]=isserver.mydomain.com





         

可能用於 FQDN 對映

此屬性可以用於建立對一個以上主機名稱的對映，在常駐於伺服器上的應用程式可被一個以上的主機名稱存取時。此特性亦可用於配置 Access Manager，不對某些 URL 採取修正動作。例如，如果使用位址存取應用程式的使用者不需要重新導向時，可藉由指定對映項目執行此功能，例如：

com.sun.identity.server.fqdnMap[IP address ]=IP address。

如果定義了一個以上的對映，請確定在無效的名稱中沒有重疊值。如果沒有這麼做，可能會導致應用程式無法存取。

永久性 Cookie

永久性 cookie 將於 Web 瀏覽器關閉後仍持續存在，可讓使用者以新的瀏覽器階段作業登入而不必重新認證。Cookie 的名稱是依據 AMConfig.properties 中的 com.iplanet.am.pcookie.name 特性定義；預設值為 DProPCookie。cookie 值是一個 3DES 加密的字串，包含 userDN、範圍名稱、認證模組名稱、最長階段作業時間、閒置時間和快取時間。

若要啟用永久性 Cookie

步驟

1. 開啟核心認證模組中的永久性 Cookie 模式。

2. 配置核心認證模組中永久性 Cookie 最長時間屬性之時間值。

3. 將 iPSPCookie 參數 (值為 yes) 附加到使用者介面登入 URL。

   一旦使用者使用此 URL 進行認證，若瀏覽器關閉，其可開啟一個新的瀏覽器視窗並將重新導向至主控台而不需重新認證。這項作業的運作時間為直到步驟 2 中定義的時間結束為止。

   可以使用認證方法開啟永久性模式：

   AMLoginModule.setPersistentCookieOn()。

「舊有」模式的多重 LDAP 認證模組配置

做為一種容錯移轉，或當 Access Manager 主控台僅提供一個值欄位時要配置屬性的多個值，管理員可於一個範圍之下定義多重 LDAP 認證模組配置。儘管這些附加配置不會顯示在主控台中，但它們仍可在找不到用於請求使用者認證的初始搜尋時與主配置配合使用。例如，一個範圍可於兩種不同網域中透過 LDAP 伺服器為認證定義搜尋，或於一個網域中配置多重使用者命名屬性。就後者而言，在主控台中只有一個文字欄位，如果使用主要搜尋準則找不到使用者，模組將會使用次要範圍搜尋。依照下列步驟配置其他的配置。

若要新增其他的配置

步驟

1. 撰寫一個 XML 檔案，其中包含完整屬性集和次要 (或第三) LDAP 認證配置需要的新值。

   檢視 amAuthLDAP.xml (位於 etc/opt/SUNWam/config/xml) 就可以參照可用的屬性。此 XML 檔案於此步驟中建立，然而，不像 amAuthLDAP.xml，它是以 amadmin.dtd 的結構為基礎。任何或是全部屬性都能定義給這個檔案。程式碼範例 1-2 為子配置檔案的範例，其包括 LDAP 認證配置可用的所有屬性值。

   <?xml version="1.0" encoding="ISO-8859-1"?> <!-- Copyright (c) 2002 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. --> <!DOCTYPE Requests PUBLIC "-//iPlanet//Sun ONE Access Manager 6.0 Admin CLI DTD//EN" "jar://com/iplanet/am/admin/cli/amAdmin.dtd" > <!-- Before adding subConfiguration load the schema with GlobalConfiguration defined and replace corresponding serviceName and subConfigID in this sample file OR load serviceConfigurationRequests.xml before loading this sample --> <Requests> <realmRequests DN="dc=iplanet,dc=com"> <AddSubConfiguration subConfigName = "ssc" subConfigId = "serverconfig" priority = "0" serviceName="iPlanetAMAuthLDAPService"> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-server"/> <Value>vbrao.red.iplanet.com:389</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-base-dn"/> <Value>dc=iplanet,dc=com</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="planet-am-auth-ldap-bind-dn"/> <Value>cn=amldapuser,ou=DSAME Users,dc=iplanet,dc=com</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-bind-passwd"/> <Value> plain text password</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-user-naming-attribute"/> <Value>uid</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-user-search-attributes"/> <Value>uid</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-search-scope"/> <Value>SUBTREE</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-ssl-enabled"/> <Value>false</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-return-user-dn"/> <Value>true</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-auth-level"/> <Value>0</Value> </AttributeValuePair> <AttributeValuePair> <Attribute name="iplanet-am-auth-ldap-server-check"/> <Value>15</Value> </AttributeValuePair> </AddSubConfiguration> </realmRequests> </Requests>

2. 複製純文字密碼做為建立於步驟 1 之 XML 檔案中 iplanet-am-auth-ldap-bind-passwd 的值。

   此屬性的值於程式碼範例中以粗體顯示。

3. 使用 amadmin 指令行工具載入 XML 檔案。

   ./amadmin -u amadmin -w administrator_password -v -t name_of_XML_file.

   請注意此次要 LDAP 配置無法使用主控台顯示或修改。

   ---

   提示 –

   這是多重 LDAP 配置可用的範例。請參閱 /AccessManager-base /SUNWam/samples/admin/cli/bulk-ops/ 中的 serviceAddMultipleLDAPConfigurationRequests .xml 指令行範本。可於 /AccesManager-base /SUNWam/samples/admin/cli/ 的 Readme.html 取得指示。

   ---

階段作業升級

認證服務可讓您根據相同使用者對單一範圍第二次執行的成功認證啟用有效的階段作業記號升級。若具有有效階段作業的使用者試圖認證到由目前範圍保護的資源，且第二次認證請求成功，階段作業會根據新認證使用新特性更新。如果認證失敗，使用者目前的階段作業會被退回，不會升級。若具有有效階段作業的使用者試圖認證到由不同範圍保護的資源，使用者將收到詢問其是否要認證到新組織的訊息。使用者在此時可以維持目前的階段作業，或嘗試對新範圍進行認證。成功的認證將導致舊階段作業被銷毀，並建立新的階段作業。

在階段作業升級期間，如果登入頁逾時，將會重新導向到原始的成功。逾時值的決定是基於：

• 為每個模組設定的頁面逾時值 (預設為 1 分鐘)

• AMConfig.properties 中的 com.iplanet.am.invalidMaxSessionTime 特性 (預設值為 10 分鐘)

• iplanet-am-max-session-time (預設值為 120 分鐘)

com.iplanet.am.invalidMaxSessionTimeout 和 iplanet-am-max-session-time 的值應大於頁逾時值，否則階段作業升級期間的有效階段作業資訊將會遺失，而且到前一個成功 URL 的 URL 重新導向將會失敗。

驗證外掛程式介面

管理員可以撰寫適合其範圍的使用者名稱或是密碼驗證邏輯，並外掛至認證服務中。這項功能只有和認證模組支援。認證使用者或變更密碼之前，Access Manager 將呼叫此外掛程式。如果驗證成功，認證將繼續；如果失敗，將拋出認證失敗頁。外掛程式會延伸 com.iplanet.am.sdk.AMUserPasswordValidation 類別，其為「服務管理 SDK」的一部分。關於此 SDK 的資訊，可以參考 Access Manager Javadocs 中的 com.iplanet.am.sdk 套裝軟體。

若要撰寫與配置驗證外掛程式

步驟

1. 新的外掛程式類別將延伸 com.iplanet.am.sdk. AMUserPasswordValidation 類別，並實作 validateUserID() 與 validatePassword() 方法。如果驗證失敗，應該會拋出 AMException。

2. 編譯外掛程式並將 .class 檔案置於想要的位置中。更新類別路徑，以便在執行階段期間可由 Access Manager 存取。

3. 以頂層管理員的身份登入 Access Manager 主控台。按一下 [服務管理] 標籤，然後到管理服務的屬性。於 UserID 與密碼驗證外掛程式類別欄位中鍵入外掛程式類別的名稱 (包括套裝軟體名稱)。

4. 登出並登入。

JAAS 共用狀態

共用狀態提供認證模組間使用者和密碼的共用。為每個認證模組定義的選項用於：

• 範圍 (或組織)

• 使用者

• 服務

• 角色

在失敗時，模組會提示需要的憑證。在認證失敗後，模組停止執行，或是登出共用狀態清除。

啟用 JAAS 共用狀態

若要配置 JAAS 共用狀態：

• 使用 iplanet-am-auth-shared-state-enabled 選項。

• 共用狀態選項的用法為：iplanet-am-auth-shared-state-enabled=true

• 此選項預設為 true。

• 將此變數指定於認證鏈接配置的 [選項] 欄位中。

失敗時，認證模組會提示需要的憑證，如同 JASS 規格中建議的 tryFirstPass 選項運作方式。

JAAS 共用狀態儲存選項

若要配置 JAAS 共用狀態儲存選項：

• 使用 iplanet-amauth-store-shared-state-enabled 選項。

• 儲存共用狀態選項的用法為：iplanet-am-auth-store-shared-state-enabled=true

• 此選項預設為 false。

• 將此變數指定於認證鏈接配置的 [選項] 欄位中。

在確認、中斷或登出後，將清除共用狀態。

第 8 章 管理策略

本章描述 Sun Java™ System Access Manager 的策略管理功能。Access Manager 的「策略管理」功能使頂層管理員或頂層策略管理員可檢視、建立、刪除和修改用於所有範圍的特定服務的策略。它也為範圍或子範圍管理員或策略管理員提供一種方式，以檢視、刪除和修改範圍層級的策略。

本章包含下列小節：

• 簡介

• 策略管理功能

• 策略類型

• 策略定義類型文件

• 建立策略

• 管理策略

• 策略配置服務

• 基於資源的認證

簡介

策略定義指定擁有組織受保護資源存取權限的規則。公司擁有需要保護、管理和監視的資源、應用程式和服務。策略透過定義使用者對特定資源行動的時機和方法，控制存取權限以及這些資源的用途。策略定義特定主體的資源。

主體可以是個人、企業、角色或群組；或是任何可以具有識別的個體。如需更多資訊，請參閱 Java™ 2 Platform Standard Edition Javadoc。

單一策略可以定義二進位或非二進位決策。二進位決策為 yes/no、true/false 或 allow/deny。非二進位決策代表屬性值。例如，郵件服務可能包含一個 mailboxQuota 屬性，每位使用者擁有最大儲存值集。一般來說，策略是配置為定義主體可以在什麼情況下對哪一個資源進行什麼動作。

策略管理功能

策略管理功能提供建立及管理策略的策略服務。策略服務允許管理員定義、修改、取得、取消及刪除權限，以保護 Access Manager 部署內的資源。通常，策略服務包括資料庫、允許建立、管理及評估策略的介面之程式庫、及策略執行程式或策略代理程式。依預設，Access Manager 將 Sun Java Enterprise System Directory Server 用於資料存放區，為策略評估和策略服務自訂提供 Java 和 C API (如需更多資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Developer’s Guide」)。它也讓管理員可使用 Access Manager 主控台來管理策略。Access Manager 提供一個啟用策略的服務，即「URL 策略代理程式」服務，它使用可下載的策略代理程式來強制執行策略。

URL 策略代理程式服務

在安裝時，Access Manager 提供的「URL 策略代理程式」服務可定義策略來保護 HTTP URL。此服務可讓管理員透過策略執行程式或策略代理程式建立與管理策略。

策略代理程式

策略代理程式是儲存企業資源的伺服器之策略執行點 (PEP)。策略代理程式與安裝在不同的 Web 伺服器上，且於使用者發出對受保護的 Web 伺服器上的網路資源的請求時，做為一個額外的認證步驟。此認證在執行資源的任何使用者認證請求之外。此代理程式保護 Web 伺服器，並且資源也會受到認證外掛程式的保護。

例如，受遠端安裝的 Access Manager 保護之人力資源 Web 伺服器可能已安裝一個代理程式。此代理程式可以防止沒有適當策略的人員檢視機密薪資資訊或其他敏感資料。策略是由 Access Manager 管理員所定義、儲存在 Access Manager 部署中，且由策略代理程式用於允許或拒絕使用者存取遠端 Web 伺服器的內容。

最新的 Access Manager 策略代理程式可以從 Sun Microsystems 下載中心下載。

有關安裝與管理策略代理程式的詳細資訊，請參閱「Sun Java System Access Manager Policy Agent 2.2 User’s Guide」。

策略是以一般順序進行評估，但在評估時，如果一個動作值評估為 deny，就不會評估後續策略，除非策略配置服務中已啟用 [繼續評估拒絕決定] 屬性。

Access Manager 策略代理程式只會強制執行 Web URL (http://... 或 https://...) 的決策。然而，可使用 Java 和 C 策略評估 API 編寫代理程式，以在其他資源上強制執行策略。

此外，策略配置服務中的 [資源比較程式] 屬性可能也需要從預設配置變更為：

serviceType=Name_of_LDAPService |class=com.sun.identity.policy.plugins.SuffixResourceName|wildcard=*

|delimiter=,|caseSensitive=false

或者，也可以提供如 LDAPResourceName 等實作來實作 com.sun.identity.policy.interfaces.ResourceName，並正確配置 [資源比較程式]。

策略代理程式程序

當網路瀏覽器請求一個駐留在受策略代理程式保護的伺服器之 URL 時，保護網路資源的程序即開始。伺服器的已安裝策略代理程式會截取請求，並檢查現有的認證憑證 (階段作業記號)。

如果代理程式截獲請求並驗證現有階段作業記號，將遵循下列程序。

1. 如果階段作業記號為有效，允許或拒絕使用者存取。如果記號為無效，使用者僅限於認證服務，如下列步驟所述。

   假設代理程式截獲一個沒有現存階段作業記號的請求，代理程式將重新導向使用者到登入頁，不論該資源是否已經使用不同的認證方法保護。

2. 一旦正確的認證了使用者的憑證，代理程式會核發一個請求給命名服務，以將使用的 URL 定義為連接至 Access Manager 的內部服務。

3. 若資源符合在代理程式配置的不予執行清單，則允許存取。

4. [命名服務] 會傳回策略服務、階段作業服務和記錄服務的定址器。

5. 代理程式會傳送請求給 [策略服務]，以取得適用於使用者的策略決策。

6. 基於存取資源的策略決策，決定使用者是否可以存取。如果策略決策建議不同的認證層級或認證機制，代理程式將重新導向請求到認證服務，直到驗證所有準則為止。

策略類型

使用 Access Manager 配置的策略有兩種：

• 一般策略

• 參照策略

一般策略

在 Access Manager 中，定義存取權限的策略是指一般策略。一般策略由規則、主旨、條件與回應提供者組成。

規則

規則包含一個資源、一或多個動作及一個值。每個動作可以有一或數個值。

• 資源定義受保護的特定物件；例如，使用人力資源服務存取的 HTML 網頁或使用者之薪資資訊。

• 動作為一項可於資源上執行的作業之名稱；Web 伺服器動作的範例有：POST 或 GET。例如，變更為住家電話號碼為人力資源服務可允許的一個動作。

• 值定義動作的權限，例如允許或拒絕。

部份服務可接受只定義動作但沒有資源。

主旨

主旨定義策略影響的使用者或使用者集合 (例如：擁有特定角色的群組或人員)。指定主旨到策略。主旨的一般原則是，只有當使用者為策略中至少一個主旨的成員時，策略才適用。預設主旨為：

AM 識別主旨

您在 [範圍主旨] 標籤下建立和管理的識別可新增為主旨的一個值。

Access Manager 角色

任何 LDAP 角色皆可新增為此主旨的一個值。LDAP 角色是使用 Directory Server 角色功能定義的任何角色。這些角色具有 Directory Server 角色定義寄存的物件類別。可以在策略配置服務中修改 LDAP 角色搜尋篩選器，以縮小範圍和改善效能。

經認證的使用者

具備有效 SSOToken 的使用者都是此主旨的成員。所有認證的使用者將成為此主旨的成員，即使這些使用者被認證到與定義策略之組織不同的組織。如果資源所有者想要將存取權限授與其他組織的使用者所管理的資源，這個功能很有用。

LDAP 群組

LDAP 群組的任何成員皆可新增為此主旨的一個值。

LDAP 角色

任何 LDAP 角色皆可新增為此主旨的一個值。LDAP 角色是使用 Directory Server 角色功能定義的任何角色。這些角色具有 Directory Server 角色定義寄存的物件類別。可以在策略配置服務中修改 LDAP 角色搜尋篩選器，以縮小範圍和改善效能。

LDAP 使用者

任何 LDAP 使用皆可新增為此主旨的一個值。

組織

組織的任何成員都是此主旨的成員。

Web 服務用戶端

有效值為本機 JKS 鍵值儲存區中可信任憑證的 DN (與可信任 WSC 的憑證相對應)。此主旨取決於 Liberty Web 服務架構，並且僅應該由 Liberty 服務提供者用來授權 WSC。如果包含在 SSOToken 中的任何主體之 DN 與此主旨的任意所選值相符，則由 SSOToken 識別的 Web 服務用戶端 (WSC) 為此主旨的成員。

確定建立鍵值儲存區後再將此主旨加入策略。以下位置可以找到設定鍵值儲存區的資訊：

AccessManager-base /SUNWam/samples/saml/xmlsig/keytool.html

Access Manager 角色與 LDAP 角色的比較

Access Manager 角色是使用 Access Manager 建立的，這些角色具有 Access Manager 指派的物件類別。LDAP 角色是使用 Directory Server 角色功能定義的任何角色。這些角色具有 Directory Server 角色定義寄存的物件類別。所有 Access Manager 角色皆可用來做為 Directory Server 角色。不過，不是所有的 Directory Server 角色都一定會是 Access Manager 角色。藉由配置策略配置服務，您可從現有目錄取用 LDAP 角色。Access Manager 角色僅可透過託管 Access Manager 策略服務存取。可以在策略配置服務中修改 LDAP 角色搜尋篩選器，以縮小範圍和改善效能。

巢式角色

在策略定義中，巢式角色可以正確評估為 LDAP 角色。

條件

此條件允許您定義對策略的限制。例如，如果您在為薪金應用程式定義策略，可以定義僅在特定幾小時限制此動作存取應用程式的條件。或者，如果請求來自給定 IP 位址集或企業內部網路，可能希望定義僅允許此動作存取的條件。

此條件可能還用於在同一網域的不同 URL 中配置不同的策略。例如，http://org.example.com/hr/*jsp 只可由 org.example.net 在 9 a.m. 至 5 p.m. 之間存取，而 http://org.example.com/finance/*.jsp 可由 org.example2.net 在 5 a.m. 至 11 p.m. 之間存取。這可藉由使用 [IP 條件] 和 [時間條件] 來達成。將規則資源指定為 http://org.example.com/hr/*.jsp，此策略會套用於 http://org.example.com/hr 下的所有 JSP (包括子目錄中的 JSP)。

參考、規則、資源、主旨、條件、動作及值分別對應於 policy.dtd 中之元素 Referral、Rule、ResourceName、Subject、Condition、Attribute 及 Value。

您可新增的預設條件有：

認證層級

若使用者的認證層級大於或等於條件中設定的認證層級，則會套用策略。

此屬性指示認證的可信度。

認證層級條件可用來指定該範圍的已註冊認證層級以外的層級。要將策略套用到其他範圍認證的使用者時，這會很有用。

對於「LE 認證」，若使用者的認證層級低於或等於條件中設定的認證層級，則會套用策略。認證層級條件可用來指定該範圍的已註冊認證層級以外的層級。要將策略套用到其他範圍認證的使用者時，這會很有用。

認證方案

從下拉式功能表中選擇條件的認證方案。這些認證方案是在範圍的核心認證服務中定義的認證模組。

IP 位址

根據 IP 位址的範圍設定條件。您可以定義的欄位為：

• 起始/終止 IP 位址 — 指定 IP 位址的範圍。

• DNS 名稱 — 指定 DNS 名稱。此欄位可以為完整的主機名稱或以下之一格式的字串：

  domainname

  *.domainname

階段作業

根據使用者階段作業資料設定條件。您可以修改的欄位為：

• 最長階段作業時間 — 指定自階段作業初始開始時可套用策略的最長持續時間。

• 終止階段作業 — 選取時，如果階段作業時間超過 [最長階段作業時間] 欄位中定義所允許的最長時間，使用者階段作業將被終止。

  您可使用此條件來保護機密資源，限制認證後能使用資源的時間。

階段作業特性

根據設定於使用者 Access Manager 階段作業中的特性值來決定策略是否適用於請求。於策略評估期間，僅當使用者階段作業具有條件中定義的特性值時，條件才傳回 true。對於條件中以多重值定義於的特性，需記號具有至少一個條件中為特性列出的值。例如，您可使用此條件，根據外部儲存庫中的屬性套用策略。認證後外掛程式可根據外部屬性設定階段作業特性。

時間

根據時間限制設定條件。這些欄位包括：

• 起始/終止日期 — 指定日期的範圍。

• 時間 — 指定一天內的時間範圍。

• 日 — 指定天數範圍。

• 時區 — 指定時區 (標準或自訂)。自訂時區僅可為 Java 識別的時區 ID (例如，PST)。如果未指定值，則預設值為 Access Manager JVM 中設定的時區。

回應提供者

回應提供者為提供策略型回應屬性的外掛程式。回應提供者屬性會和策略決策一起傳送給 PEP。Access Manager 包括一個實作，即 IDResponseProvider。此版本的 Access Manager 不支援自訂回應提供者。代理程式 PEP 通常會將這些回應以標頭的形式傳遞給應用程式。應用程式通常使用這些屬性將應用程式頁面個人化，例如入口網站頁面。

策略建議

如果無法根據條件的決定來套用策略，條件可能會產生建議訊息，指出無法將策略套用至請求的原因。這些建議訊息會在策略決策中傳播至 [策略執行點]。[策略執行點] 可以擷取此建議，並嘗試採取適當的行動，例如將使用者重新導向回認證機制，以便進行更高層級認證。採取建議的適當行動後，接著，使用者可能會收到更高層級認證的提示，只要能夠使用策略，使用者可能可以存取資源。

以下類別有更多資訊：

com.sun.identity.policy.ConditionDecision.getAdvices()

如果條件不符，只有 AuthLevelCondiiton 和 AuthSchemeCondition 會提供建議。

AuthLevelCondition 建議與以下鍵值相關聯：

com.sun.identity.policy.plugin.AuthLevelCondition.AUTH_LEVEL_CONDITION_ADVICE

AuthSchemeCondition 建議與以下鍵值相關聯：

com.sun.identity.policy.plugin.AuthLevelCondition.AUTH_SCHEME_CONDITION_ADVICE

自訂條件也會產生建議。但是，Access Manager 策略代理程式僅回應認證層級認證和認證方案建議。可以寫入自訂代理程式來瞭解及回應其他建議，而現有 Access Manager 代理程式可以延伸來瞭解及回應其他建議。如需更多資訊，請參閱「Sun Java System Access Manager Policy Agent 2.2 User’s Guide」。

參照策略

管理員可能需要將一個範圍的策略定義委託給另一個範圍。(或者，可以將資源的策略決策委託給其他策略產品。)參照策略控制此策略委託，以建立與評估策略。它是由一或多項規則及一或多個參考所組成。

規則

規則定義其策略定義與評估正在被參照的資源。

參照

參照定義策略評估正在參照的組織。依預設，有兩種類型的參照：同級範圍與子範圍。其分別委派至相同層次上的範圍與子層次上的範圍。如需更多資訊，請參閱建立同級範圍與子範圍的策略。

被參照的範圍可以僅為那些已參照了該範圍的資源 (或子資源) 定義或評估策略。然而，此限制不會套用至頂層範圍。

策略定義類型文件

建立與配置好策略之後，會將其以 XML 的形式儲存於 Directory Server。在 Directory Server 中，以 XML 編碼的資料會儲存在同一位置。雖然策略是使用 amAdmin.dtd (或主控台) 定義和配置，實際上是以根據 policy.dtd 以 XML 的形式儲存在 Directory Server。policy.dtd 包含從 amAdmin.dtd 中擷取的 policy 元素標籤 (不含策略建立標籤)。因此，當策略服務從 Directory Server 載入策略時，將根據 policy.dtd 剖析 XML。只有在使用指令行建立策略時，才會使用 amAdmin.dtd。本節將描述 policy.dtd 的結構。policy.dtd 位於下列位置：

AccessManager-base/SUNWam/dtd (Solairs)
AccessManager-base/identity/dtd (Linux)

本章其他部分僅提供 Solaris 目錄資訊。請注意 Linux 的目錄結構不同。

Policy 元素

Policy 是根元素，其定義策略的權限或規則，及套用規則的對象或主旨。它也定義策略是否為參考 (委託的) 策略，及該策略是否有任何限制 (或條件)。可能包含下列一或多個子元素：Rule、Condition、Subject、Referral 或 response provider。必要的 XML 屬性為 name，其指定策略的名稱。referralPolicy 屬性辨識策略是否為參照策略；若未定義，預設值為一般策略。選用的 XML 屬性包括 name 與 description。

將策略標示為參照時， 策略評估期間將略過主旨與條件。相對的，將策略標示為一般時，策略評估期間將略過所有參考。

Rule 元素

Rule 元素定義策略特性並可接受三個子元素：ServiceName、ResourceName 或 AttributeValuePair。可定義為其建立策略服務類型或應用程式，以及於其中執行的資源和動作。規則可被定義為不具任何動作；例如，參照策略規則不具任何動作。

已定義策略不含已定義 ResourceName 元素是可接受的。

ServiceName 元素

ServiceName 元素定義套用策略的服務之名稱。此元素代表服務類型。不包含任何其他元素。此值與服務的 XML 檔案中定義之值完全相同 (以 sms.dtd 為根據)。ServiceName 元素的 XML 服務屬性為服務的名稱 (可接受字串值)。

ResourceName 元素

ResourceName 元素定義據以行動的物件。策略已經特別配置為保護這個物件。不包含任何其他元素。ResourceName 元素的 XML 服務屬性為物件的名稱。ResourceName 的範例可以是 http://www.sunone.com:8080/images (在 Web 伺服器上) 或 ldap://sunone.com:389/dc=example,dc=com (在目錄伺服器上)。更特定的資源可以是 salary://uid=jsmith,ou=people,dc=example,dc=com，其中將據以行動的物件是 John Smith 的薪資資訊。

AttributeValuePair 元素

AttributeValuePair 元素定義動作和動作的值。它被用來做為 Subject 元素、Referral 元素及 Condition 元素的子元素。其同時包含 Attribute 與 Value 元素，而且沒有 XML 服務屬性。

Attribute 元素

Attribute 元素定義動作的名稱。一個動作為在資源上執行的作業或事件。POST 或 GET 為 Web 伺服器資源上執行的動作，READ 或 SEARCH 為目錄伺服器上執行的動作。Attribute 元素必須與 Value 元素配對使用。Attribute 元素本身不包含其他任何元素。Attribute 元素的 XML 服務屬性為動作的名稱。

Value 元素

Value 元素定義動作值。Allow/deny 或 yes/no 為動作值範例。其他動作值可以是布林值、數字或字串。其值在定義於服務的 XML 檔案中 (以 sms.dtd 為根據)。Value 元素不包含其他任何元素，而且也不包含 XML 服務屬性。

拒絕規則永遠優先於允許規則。例如，如果一個策略是拒絕，另一種是允許，則結果是拒絕 (假如同時滿足這兩種策略條件)。由於拒絕策略可能導致這兩種策略之間產生潛在的衝突，因此建議您使用拒絕策略時要非常謹慎。如果使用明確的拒絕規則，透過不同主旨 (如角色和/或群組成員身份) 為給定使用者指定的策略也可能會導致拒絕對資源存取。通常，策略定義程序應該僅使用允許規則。如果未套用其他策略則可能使用預設的拒絕。

Subject 元素

Subject 子元素辨識套用策略的主體集合；此簡介集合是根據群組中的成員、角色的擁有權或個別使用者進行選擇的。它接受 Subject 子元素。XML 屬性可定義為：

name。可定義物件集合的名稱。

description。可定義主旨的描述。

includeType。 目前不使用。

Subject 元素

Subject 子元素辨識套用策略的主體集合；此集合指出 Subject 元素所定義的集合中較特別的物件。成員可以根據角色、群組成員或只是一些個別使用者。其包含子元素AttributeValuePair 元素。必要的 XML 屬性為 type，其辨識可從其中取得定義特殊之主旨的一般物件集合。其他的 XML 屬性包括 name，其定義物件集合的名稱、includeType，其定義是否已定義物件集合，並決定策略是否適用於「非」主旨成員的使用者。

定義多重主旨時，至少一項主旨必須套用到使用者，才能套用策略。若主旨定義的 includeType 設為 false，使用者不可以是策略套用的主旨之成員。

Referrals 元素

Referrals 子元素辨識策略參照集合。它接受 Referral 子元素。可對其定義的 XML 屬性為 name，其定義物件集合的名稱及 description ，其接受描述。

Referral 元素

Referral 子元素辨識特定策略參照。其接受子元素 AttributeValuePair 元素。對其而言必要的 XML 屬性是 type，其辨識可從其中取得定義特殊之參照的一般指定集合。它也可包含定義集合名稱的 name 屬性。

Conditions 元素

Conditions 子元素辨識策略限制集合 (時間範圍、認證層級等等)。它必須包含一或多個 Condition 子元素。可對其定義的 XML 屬性為 name，其定義物件集合的名稱及 description ，其接受描述。

Conditions 元素為策略中的選擇性元素。

Condition 元素

Condition 子元素辨識特定策略限制 (時間範圍、認證層級等等)。其接受子元素 AttributeValuePair 元素。它的必要 XML 屬性為 type，其辨識可從其中取得定義特殊的條件之一般限制集合。它也可包含定義集合名稱的 name 屬性。

新增啟用策略的服務

只有當服務模式的 <Policy> 元素配置為 sms.dtd 時，才可以為指定服務的資源定義策略。

依預設，Access Manager 提供 URL 策略代理程式服務 ( iPlanetAMWebAgentService)。此服務於下列目錄中的 XML 檔案中定義：

/etc/opt/SUNWam/config/xml/

不過您可以增加其他策略服務到 Access Manager。一旦建立了策略服務，就可以透過 amadmin 指令行公用程式將其新增至 Access Manager。

新增啟用策略的服務

步驟

1. 在 XML 檔案中以 sms.dtd 為根據開發新的策略服務。Access Manager 提供兩種策略服務 XML 檔案，您會想要使用以下兩種檔案作為新策略服務檔案的基礎：

   amWebAgent.xml - 這是預設 URL 策略代理程式服務的 XML 檔案。它位於 /etc/opt/SUNWam/config/xml/ 中。

   SampleWebService.xml- 此範例策略服務檔位於 AccessManager-base/samples/policy。

2. 將 XML 檔案儲存到您即將從其中載入新策略服務的目錄。例如：

   /config/xml/newPolicyService.xml

3. 使用 amadmin 指令行公用程式載入新的策略服務。例如：

   AccessManager-base/SUNWam/bin/amadmin --runasdn “uid=amAdmin,ou=People,default_org, root_suffix --password password --schema /config/xml/newPolicyService.xml

4. 載入新的策略服務後，您可以透過 Access Manager 主控台，或透過 amadmin 載入新策略，來定義策略定義的規則。

建立策略

您可透過策略 API 與 Access Manager 主控台建立、修改和刪除策略，並透過 amadmin 指令行工具建立和刪除策略。您也可以使用 amadmin 公用程式在 XML 中取得和列出策略。本節重點在透過 amadmin 指令行公用程式與透過 Access Manager 主控台建立策略。如需更多資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Developer’s Guide」。

策略通常是以 XML 檔案建立，並透過 amadmin 指令行公用程式新增至 Access Manager，然後透過 Access Manager 主控台管理 (但可透過主控台建立策略)。這是因為不能直接使用 amadmin 修改策略。若要修改策略，必須先從 Access Manager 刪除策略，然後使用 amadmin 加入修改後的策略。

通常策略是在範圍 (或子範圍) 層級建立，可在範圍的整個樹狀結構中使用。

使用 amadmin 建立策略

步驟

1. 根據 amadmin.dtd 建立策略 XML 檔。此檔案位於下列目錄：

   AccessManager-base /SUNWam/dtd

2. 策略 XML 檔案開發完成後，您可使用下列指令加以載入：

   AccessManager-base/SUNWam/bin/amadmin --runasdn "uid=amAdmin,ou=People,default_org, root_suffix" --password password --data policy.xml

   若要同時加入多重策略，請將這些策略放在一個 XML 檔案中，這一點與在每個 XML 檔案中放一個策略相反。如果使用多重 XML 檔案連續快速載入策略，則內部策略索引可能會損毀，而且某些策略可能不參與策略評估。

   透過 amadmin 建立策略時請確定：當建立認證方案條件時認證模組是以範圍註冊；當建立範圍、LDAP 群組、LDAP 角色和 LDAP 使用者時對應的 LDAP 物件範圍、群組、角色和使用者存在；當建立 IdentityServerRoles 主旨時 Access Manager 角色存在；當建立子範圍或同級範圍參照時相關範圍存在。

   請注意，在 SubrealmReferral、PeerRealmReferral 的 Value 元素之內容中，Realm 主旨、IdentityServerRoles 主旨、LDAPGroups 主旨、LDAPRoles 主旨和 LDAPUsers 主旨必須為完整的 DN。

以 Access Manager 主控台建立一般策略

步驟

1. 選擇您要為其建立策略的範圍。

2. 按一下 [策略] 標籤。

3. 按一下 [策略] 清單中的 [新建策略]。

4. 新增策略的名稱與描述。

5. 若您要策略為作用中，請選取 [作用中] 屬性中的 [Yes]。

6. 並且此時，無需定義一般策略的所有欄位。您可以建立策略，隨後再加入規則、主旨、條件和回應等。如需更多資訊，請參閱管理策略。

7. 按一下 [建立]。

以 Access Manager 主控台建立參照策略

步驟

1. 選擇您要建立策略的範圍。

2. 按一下 [策略] 標籤下的 [新建參照]。

3. 新增策略的名稱與描述。

4. 若您要策略為作用中，請選取 [作用中] 屬性中的 [Yes]。

5. 此時，無需定義參照策略的所有欄位。您可以建立策略，隨後再加入規則和參照等。如需更多資訊，請參閱管理策略。

6. 按一下 [建立]。

建立同級範圍與子範圍的策略

要為同級組織或子範圍建立策略，必須先在父系範圍 (或另一個同級範圍) 中建立參照策略。參照策略的規則定義中必須包含正由子範圍管理的資源前綴。在父系範圍 (或另一個同級範圍) 中建立參照策略後，可在子範圍 (或另一個同級範圍) 建立一般策略。

在此範例中，o=isp 是父系範圍，o=example.com 是子範圍，管理 http://www.example.com 的資源和子資源。

建立子範圍的策略

步驟

1. 於 o=isp 建立參照策略。如需參照策略的相關資訊，請參閱程序修改參照策略。

   參照策略必須定義 http://www.example.com 做為規則中的資源，且必須包含以 example.com 做為參照中的值之 SubRealmReferral。

2. 瀏覽至子範圍 example.com。

3. 目前，isp 將資源參考為 example.com，可以為資源 http://www.example.com 或任何以 http://www.example.com 開頭的資源建立一般策略。

   若要定義由 example.com 管理的其他資源之策略，必須在 o=isp 建立額外的參照策略。

管理策略

建立一般策略或參照策略並加入 Access Manager 後，您即可透過 Access Manager 主控台管理策略，方法是修改規則、主旨、條件與參照。

修改一般策略

透過 [策略] 標籤，您可修改用來定義存取權限的一般策略。您可定義和配置數個規則、主旨、條件和資源主較程式。此節列出和說明其步驟。

新增或修改一般策略的規則

步驟

1. 若您已建立策略，按一下您要新增規則的策略名稱。若還沒建立，請參閱以 Access Manager 主控台建立一般策略。

2. 於 [規則] 功能表下，按一下 [新建]。

3. 為規則選取下列預設服務類型之一。啟用策略的服務越多，您可以參閱的清單就越大：

   探索服務

   定義探索服務查詢的授權動作，並修改 Web 服務用戶端對特定資源的協定呼叫。

   Liberty 個人設定檔服務

   定義 Liberty 個人設定檔服務查詢的授權動作，並修改 Web 服務用戶端對特定資源的協定呼叫。

   URL 策略代理程式

   為策略執行提供 URL 策略代理程式服務。此服務可讓管理員透過策略執行程式或策略代理程式建立與管理策略。

4. 按 [下一步]。

5. 輸入規則的名稱與資源名稱。

   目前，策略代理程式僅支援 http:// 與 https:// 資源，而不支援以 IP 位址取代主機名稱。

   主機、連接埠和資源名稱皆支援萬用字元。例如：

   http*://*:*/*.html

   對 URL 策略代理程式服務而言，若未輸入連接埠埠號，則 http:// 的預設埠號為 80、https:// 的預設埠號為 443。

6. 為此規則選取動作。若您是使用 URL 策略代理程式服務，可以選擇：

   • GET

   • POST

7. 選取動作值。

   • 允許 — 允許您存取與規則中所定義資源相符的資源。

   • 拒絕 — 不允許您存取與規則中所定義資源相符的資源。

   • [拒絕] 規則永遠優先於 [允許] 規則。例如，如果指定的資源有兩種策略，一種是拒絕存取，另一種是允許存取，則結果是拒絕存取 (假如同時滿足這兩種策略條件)。由於拒絕策略可能導致這兩種策略之間產生潛在的衝突，因此建議您使用拒絕策略時要非常謹慎。策略定義程序應該僅使用允許規則。若資源未套用任何策略，會自動拒絕存取。

     如果使用明確的拒絕規則，即使有一個或多個策略允許存取，透過不同主旨如角色和或群組成員身份為給定使用者指定的策略也可能會導致拒絕對資源存取。例如，如果存在一個適用於員工角色之資源的拒絕策略，還存在另一個適用於管理員角色之相同資源的允許策略，系統將會拒絕指定給使用者 (員工角色和管理員角色 的策略決策。

     解決此問題的一種方法為使用條件外掛程式設計策略。在上述情況中，「角色條件」(將拒絕策略套用於認證為員工角色之使用者，並將允許策略套用至認證為經理角色之使用者) 協助區分這兩種策略。另一種方法為使用 authentication level 條件，其中經理角色是在較高認證層級進行認證。

8. 按一下 [完成]。

新增或修改一般策略的主旨

步驟

1. 若您已建立策略，按一下您要新增主旨的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立一般策略。

2. 於 [主旨] 清單下，按一下 [新建]。

3. 選取其中一個預設主旨類型。如需要主旨類型的說明，請參閱主旨。

4. 按 [下一步]。

5. 輸入此主旨的名稱。

6. 選取或取消選取 [專用] 欄位。

   如果未選取此欄位 (預設)，則此策略將套用於屬於主旨成員的識別。如果選取此欄位，則此策略將套用於不屬於主旨成員的識別。

   若策略中有數個主旨，策略將套用至至少為其中一個主旨之成員的識別。

7. 執行搜尋，以便顯示要加入至此主旨的識別。此步驟不適用於 [已認證的使用者] 主旨或 [Web 服務用戶端] 主旨。

   預設 (*) 搜尋式樣將顯示所有項目。

8. 選取要為此主旨加入的個別身份，或按一下 [全部加入] 以立即加入所有身份。按一下 [新增]，以將識別移至選取的清單。此步驟不適用於 [已認證的使用者] 主旨。

9. 按一下 [完成]。

10. 若要從策略中移除某主旨，請選取此主旨並按一下 [刪除]。按一下主旨名稱可以編輯任何主旨定義。

將條件新增至一般策略

步驟

1. 若您已建立策略，按一下您要新增規則的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立一般策略。

2. 於 [條件] 清單下，按一下 [新建]。

3. 選取條件類型並按 [下一步]。

4. 定義條件類型的欄位。如需條件類型的說明，請參閱條件。

5. 按一下 [完成]。

將回應提供者新增至一般策略

步驟

1. 若您已建立策略，按一下您要新增回應提供者的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立一般策略。

2. 於 [回應提供者] 清單下，按一下 [新建]。

3. 輸入回應提供者的名稱。

4. 定義下列值：

   StaticAttribute

   含名字與值的回應屬性，定義於 IDResponseProvider 實例中並儲存於策略中。

   DynamicAttribute

   此處所選擇的回應屬性首先需要定義於對應之範圍的「策略配置服務」中。定義的屬性名稱應與那些存在於配置資料庫中的屬性相同。如需有關如何定義屬性的詳細資料，請參閱「Access Manager 線上說明」中的策略配置屬性定義。

5. 按一下 [完成]。

6. 若要從策略中移除回應提供者，請選取主旨，然後按一下 [刪除]。按一下名稱可以編輯任何回應提供者定義。

修改參照策略

您可將範圍的策略定義和決策委派其他使用參照策略的範圍。自訂參照可用以從任何策略目標點取得策略決策。建立參照策略後，可新增或修改關聯的規則、參照和資源提供者。

新增或修改參照策略的規則

步驟

1. 若您已建立策略，按一下您要新增規則的策略名稱。若還沒建立，請參閱以 Access Manager 主控台建立參照策略。

2. 於 [規則] 清單下，按一下 [新建]。

3. 為規則選取下列預設服務類型之一。啟用策略的服務越多，您可以參閱的清單就越大：

   探索服務

   定義探索服務查詢的授權動作，並修改 Web 服務用戶端對特定資源的協定呼叫。

   Liberty 個人設定檔服務

   定義 Liberty 個人設定檔服務查詢的授權動作，並修改 Web 服務用戶端對特定資源的協定呼叫。

   URL 策略代理程式

   為策略執行提供 URL 策略代理程式服務。此服務可讓管理員透過策略執行程式或策略代理程式建立與管理策略。

4. 按 [下一步]。

5. 輸入規則的名稱與資源名稱。

   目前，策略代理程式僅支援 http:// 與 https:// 資源，而不支援以 IP 位址取代主機名稱。

   資源名稱、連接埠號和協定可以使用萬用字元。例如：

   http://*:*/*.html

   對 URL 策略代理程式服務而言，若未輸入連接埠埠號，則 http:// 的預設埠號為 80、https:// 的預設埠號為 443。

   若要允許管理安裝於特定機器上所有伺服器的資源，您可將資源定義為 http://host*:*. 。另外，您可定義以下資源以授與管理員存取特定組織中所有服務的特定組織權限。

   http://*.subdomain.domain.topleveldomain

6. 按一下 [完成]。

新增或修改策略的參照

步驟

1. 若您已建立策略，按一下您要新增回應提供者的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立參照策略。

2. 於 [規則] 清單下，按一下 [新建]。

3. 選取 [服務] 類型。

4. 定義 [規則] 欄位中的資源。這些欄位包括：

   參照— 顯示目前的參照類型。

   名稱— 輸入參照的名稱。

   資源名稱— 輸入資源的名稱。

   篩選器— 指定將要顯示在 [值] 欄位中的組織名稱之篩選器。依預設，其將顯示所有組織名稱。

   值— 選取參照的組織名稱。

5. 按一下 [完成]。

   若要從策略中移除某個參照，請選取此參照，然後按一下 [刪除]。

   可以透過按一下參照名稱旁邊的 [編輯] 連結，編輯任何參照定義。

將回應提供者新增至參照策略

步驟

1. 若您已建立策略，按一下您要新增回應提供者的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立一般策略。

2. 於 [回應提供者] 清單下，按一下 [新建]。

3. 輸入回應提供者的名稱。

4. 定義下列值：

   StaticAttribute

   含名字與值的回應屬性，定義於 IDResponseProvider 實例中並儲存於策略中。

   DynamicAttribute

   僅含所選取名稱的回應屬性，選取於策略中的 IDResponseProvider。根據策略評估期間的使用者識別請求，可從 IDRepostitories 讀取該值。

5. 按一下 [完成]。

6. 若要從策略中移除回應提供者，請選取主旨，然後按一下 [刪除]。按一下名稱可以編輯任何回應提供者定義。

策略配置服務

策略配置服務用來為每個組織透過 Access Manager 主控台配置每個策略相關屬性。您也可定義資源名稱實作和 Directory Server 資料存放區，以和 Access Manager 策略架構一起使用。[策略配置服務] 中指定的 Directory Server 用於 LDAP 使用者、LDAP 群組、LDAP 角色和組織策略主旨的成員身份評估。

主旨結果存在時間

若要改善策略評估表現，成員身份評估將快取一段時間 (以策略配置服務中 [主旨結果存在時間] 屬性中定義的時間為基準)。將一直使用這些快取成員身份決策，直到 [主旨結果存在時間] 屬性定義之時間結束。在這之後，成員身份評估會用於反映目錄中使用者的目前狀態。

動態屬性

這些為允許的動態屬性名稱，其顯示於清單中，並可選取以定義策略回應提供者動態屬性。定義的名稱需要與資料儲存庫中定義的屬性名稱相同。

amldapuser 定義

amldapuser 是在安裝中建立的使用者，預設由 [策略配置] 服務中指定的 Directory Server 使用。若有必要，範圍的管理員或策略管理員可變更此值。

加入策略配置服務

建立範圍時，會自動設定範圍的 [策略配置] 服務屬性。然而，若有必要您可加以修改。

基於資源的認證

有些組織需要有進階認證方案，使用者可根據特定模組、根據試圖存取的資源進行認證。基於資源的認證是 Access Manager 的一項功能，使用者必須通過用以保護資訊的特定認證模組的認證，而非預設認證模組。此功能僅適用於首次使用者認證。

這是與階段作業升級中描述的基於資源認證不同的功能。該特定功能並不具有任何限制。

限制

基於資源的認證有下列限制：

• 若適用於資源的策略具有多重認證模組，系統將任意選取一個認證模組。

• 層級和方案是唯一可以為此策略定義的條件。

• 此功能不能跨不同 DNS 網域運作。

配置基於資源的認證

Access Manager 和策略代理程式都安裝好之後，就可以配置基於資源的認證。要這樣做，必須先將 Access Manager 指向 Gateway servlet。

步驟

1. 開啟 AMAgent.properties。

   AMAgent.properties 可以在 (於 Solaris 環境中) /etc/opt//SUNWam/agents/config/ 中找到。

2. 註釋下面的行：

   #com.sun.am.policy.am.loginURL = http://Access Manager_server_host.domain_name:port/amserver/UI/Login.

3. 新增下列行到檔案中：

   com.sun.am.policy.am.loginURL = http://AccessManager_host.domain_name:port/amserver/gateway

   ---

   備註 –

   閘道 servlet 使用策略評估 API 開發，並可用來撰寫自訂機制以完成基於資源的認證。「Sun Java System Access Manager 7 2005Q4 Developer’s Guide」中的第 6 章「Using the Policy APIs」的第 6 章「Using the Policy APIs」。

   ---

4. 重新啟動代理程式。

第 9 章 管理主旨

[主旨] 介面可在範圍內進行基本識別管理。您建立於 [主旨] 介面中的識別可用於以 Access Manager 識別物件類型建立之策略的主旨定義中。

您可以建立與修改的識別為：

• 使用者

• 代理程式

• 篩選的角色

• 角色

• 群組

使用者

使用者代表一個個別的識別。可於群組中建立與刪除使用者，並可由角色和/或群組新增或移除。您亦可對使用者指定服務。

建立或修改使用者

步驟

1. 按一下 [使用者] 標籤。

2. 按一下 [開啟新檔] 。

3. 輸入下列欄位的資料：

   使用者 ID。 此欄位採用其將登入 Access Manager 的使用者名稱。此特性可為非 DN 值。

   名字。此欄位中採用使用者的名字。

   姓氏。此欄位採用使用者的姓氏。

   全名 — 此欄位採用使用者的全名。

   密碼。— 此欄位中為 [使用者 ID] 欄位中所指定名稱的密碼。

   密碼 (確認) — 確認密碼。

   使用者狀態。此選項指出是否允許使用者透過 Access Manager 認證。

4. 按一下 [建立]。

5. 一旦建立了使用者，您可以按一下使用者名稱來編輯使用者資訊。如需使用者資訊，請參閱使用者屬性。您可執行的其他修改：

   • 建立或修改使用者

   • 新增使用者至角色與群組

   • 新增服務至一個識別

新增使用者至角色與群組

步驟

1. 按一下您要修改的使用者名稱。

2. 選取角色或群組。僅顯示已指定給使用者的角色與群組。

3. 由 [可用的] 清單選取角色或群組並按一下 [新增]。

4. 一旦角色或群組顯示於 [選取的] 清單中，按一下 [儲存]。

新增服務至一個識別

步驟

1. 選取您要新增服務的識別。

2. 按一下 [服務] 標籤。

3. 按一下 [加入] 。

4. 依據您所選取的識別類型，將顯示下列服務清單：

   • 認證配置

   • 探索服務

   • Liberty 個人設定檔服務

   • 階段作業

   • 使用者

5. 選取您要新增的服務，並按 [下一步]。

6. 編輯服務的屬性。如需有關服務的說明，請按一下步驟 4 中的服務名稱。

7. 按一下 [完成]。

代理程式

Access Manager 策略代理程式會保護 Web 伺服器和 Web 代理伺服器上的內容，以避免未經授權的侵入。它們會根據管理員配置的策略，來控制對服務和 Web 資源的存取。

代理程式物件定義策略代理程式設定檔，可讓 Access Manager 儲存認證及其他有關保護 Access Manager 資源之特定代理程式的設定檔資料。經由 Access Manager 主控台，管理員可以檢視、建立、修改和刪除代理程式設定檔。

在代理程式物件建立頁面，可以對 Access Manager 認證代理程式定義 UID/密碼。若您具有使用相同的 Access Manager 的多重 AM/WS，您可以對不同代理程式啟用多重 ID，並由 Access Manager 個別地啟用與停用。您亦可集中管理代理程式的某些喜好設定值，而不是在每個機器上編輯 AMAgent.properties。

建立或修改代理程式

步驟

1. 按一下 [代理程式] 標籤。

2. 按一下 [開啟新檔] 。

3. 輸入下列欄位值：

   名稱。 輸入代理程式的名稱或識別。這是代理程式將用來登入到 Access Manager 的名稱。不接受多位元的名稱。

   密碼。 輸入代理程式密碼。此密碼必須與 LDAP 認證期間代理程式所使用的密碼不同。

   確認密碼。確認密碼。

   裝置狀態。 輸入代理程式的裝置狀態。如果設定為 [作用中]，則代理程式能夠認證進入並與 Access Manager 通訊。如果設定為 [非作用中]，則代理程式無法認證進入 Access Manager。

4. 按一下 [建立]。

5. 一旦您建立了代理程式，您可以另外編輯下列欄位：

   描述。 輸入代理程式的簡要描述。例如，您可以輸入代理程式實例名稱或其保護的應用程式名稱。

   代理程式密鑰值。 以一個密鑰/值對設定代理程式特性。Access Manager 使用此特性來接收有關使用者憑證指定的代理程式請求。目前，僅有一個特性有效，且將忽略所有其他特性。請使用以下格式：

   agentRootURL=http:// server_name:port/

建立唯一的策略代理程式識別

依預設，當您於信任的環境中建立多個策略代理程式時，策略代理程式包含相同的 UID 與密碼。因為共用 UID 與密碼，Access Manager 無法分辨代理程式，其使得階段作業保持開啟狀態可能被截取資訊。

當 [識別提供者] 提供有關為協力廠商或企業中未授權群組所開發的應用程式 (或 [服務提供者]) 之使用者的認證、授權與設定檔資訊時，此弱點可能顯現。可能的安全性問題是：

• 所有應用程式會共用相同的 http 階段作業 cookie。這樣有可能會使得惡意的應用程式奪取階段作業 cookie 並於另一個應用程式中假冒使用者。

• 若應用程式並未使用 https 協定，階段作業 cookie 容易遭到網路竊聽。

• 只要有一個應用程式可被奪取，整個基礎架構的安全性就有受到危害的風險。

• 惡意的應用程式可使用階段作業 cookie 來取得使用者的設定檔屬性並有可能進行修改。若使用者擁有管理權限，應用程式將可能造成更大的災害。

建立唯一的策略代理程式識別

步驟

1. 使用 Access Manager 管理控制台為每個代理程式建立項目。

2. 執行下列於建立代理程式期間輸入的密碼指令。應在安裝代理程式的主機上呼叫此命令。

   AccessManager-base/SUNWam/agents/bin/crypt_util agent123

   如此將提供下列輸出：

   WnmKUCg/y3l404ivWY6HPQ==

3. 變更 AMAgent.properties 以反映新值，然後重新啟動代理程式。範例：

   # The username and password to use for the Application 
   
   authentication module.
   
   
   
   com.sun.am.policy.am.username = agent123
   
   com.sun.am.policy.am.password = WnmKUCg/y3l404ivWY6HPQ==
   
   
   
   # Cross-Domain Single Sign On URL
   
   # Is CDSSO enabled.
   
   com.sun.am.policy.agents.cdsso-enabled=true
   
   
   
   # This is the URL the user will be redirected to after successful login
   
   # in a CDSSO Scenario.
   
   com.sun.am.policy.agents.cdcservletURL = http://server.example.com:port
   
   /amserver/cdcservlet

4. 變更安裝 Access Manager 所在的 AMConfig.properties 以反映新值，然後重新啟動 Access Manager。範例：

   com.sun.identity.enableUniqueSSOTokenCookie=true
   
   com.sun.identity.authentication.uniqueCookieName=sunIdentityServerAuthNServer
   
    
   
   com.sun.identity.authentication.uniqueCookieDomain=.example.com

5. 於 Access Manager 主控台中，選取 [配置] > [平台]。

6. 在 [Cookie 網域] 清單中，變更 Cookie 網域名稱：

   1. 選取預設的 iplanet.com 網域，然後按一下 [移除]。

   2. 輸入安裝 Access Manager 的主機名稱，然後按一下 [新增]。

      範例：server.example.com

      您應該會在瀏覽器上看見兩組 Cookie：

      • iPlanetDirectoryPro – 伺服器。example.com (主機名稱)

      • sunIdentityServerAuthNServer – example.com (主機名稱)

篩選的角色

篩選的角色是經由使用 LDAP 篩選器而建立的動態角色。建立角色時，所有使用者都會透過篩選器的篩選並指定給角色。篩選器會在項目中尋找任何屬性值對 (例如，ca=user*)，並自動指定包含該屬性的使用者給角色。

建立篩選的角色

步驟

1. 於 [瀏覽] 窗格中，跳至將建立角色的組織。

2. 按一下 [開啟新檔] 。

3. 輸入篩選角色的名稱。

4. 輸入搜尋條件的資訊。

   例如，

   (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

   若篩選器依預設為空白，將建立下列角色：

   (objectclass = inetorgperson)

5. 按一下 [建立] 以根據篩選器條件初始搜尋。由篩選器條件定義的識別將自動地指定給角色。

6. 一旦建立了篩選的角色，按一下角色名稱以檢視屬於角色的使用者。您亦可按一下 [服務] 標籤來新增服務至角色。

角色

角色的成員是角色的 LDAP 項目。角色自己的條件已定義為含屬性的 LDAP 項目，為項目的識別名稱 (DN) 屬性所辨識。一旦建立了角色，您可以手動新增服務與使用者。

建立或修改角色

步驟

1. 按一下 [角色] 標籤。

2. 在角色清單中按一下 [新建]。

3. 輸入角色的名稱。

4. 按一下 [建立]。

新增使用者至角色或群組

步驟

1. 按一下您要新增使用者的角色或群組名稱。

2. 按一下 [使用者] 標籤。

3. 從 [可用] 清單選取您要新增的使用者並按一下 [新增]。

4. 一旦使用者顯示於 [選取的] 清單中，按一下 [儲存]。

群組

群組代表具有共同功能、特性或興趣的使用者集合。通常，此群組並無與之相關聯的權限。群組可以兩個層級存在；於組織內及於其他受管理群組內。

建立或修改群組

步驟

1. 按一下 [群組] 標籤。

2. 按一下群組清單上的 [新建]。

3. 輸入群組的名稱。

4. 按一下 [建立]。

   一旦您建立了群組，您可以按一下群組名稱與 [使用者] 標籤，將使用者新增至群組。