Access Manager 策略代理程式會保護 Web 伺服器和 Web 代理伺服器上的內容,以避免未經授權的侵入。它們會根據管理員配置的策略,來控制對服務和 Web 資源的存取。
代理程式物件定義策略代理程式設定檔,可讓 Access Manager 儲存認證及其他有關保護 Access Manager 資源之特定代理程式的設定檔資料。經由 Access Manager 主控台,管理員可以檢視、建立、修改和刪除代理程式設定檔。
在代理程式物件建立頁面,可以對 Access Manager 認證代理程式定義 UID/密碼。若您具有使用相同的 Access Manager 的多重 AM/WS,您可以對不同代理程式啟用多重 ID,並由 Access Manager 個別地啟用與停用。您亦可集中管理代理程式的某些喜好設定值,而不是在每個機器上編輯 AMAgent.properties。
按一下 [代理程式] 標籤。
按一下 [開啟新檔] 。
輸入下列欄位值:
名稱。 輸入代理程式的名稱或識別。這是代理程式將用來登入到 Access Manager 的名稱。不接受多位元的名稱。
密碼。 輸入代理程式密碼。此密碼必須與 LDAP 認證期間代理程式所使用的密碼不同。
確認密碼。確認密碼。
裝置狀態。 輸入代理程式的裝置狀態。如果設定為 [作用中],則代理程式能夠認證進入並與 Access Manager 通訊。如果設定為 [非作用中],則代理程式無法認證進入 Access Manager。
按一下 [建立]。
一旦您建立了代理程式,您可以另外編輯下列欄位:
描述。 輸入代理程式的簡要描述。例如,您可以輸入代理程式實例名稱或其保護的應用程式名稱。
代理程式密鑰值。 以一個密鑰/值對設定代理程式特性。Access Manager 使用此特性來接收有關使用者憑證指定的代理程式請求。目前,僅有一個特性有效,且將忽略所有其他特性。請使用以下格式:
agentRootURL=http:// server_name:port/
依預設,當您於信任的環境中建立多個策略代理程式時,策略代理程式包含相同的 UID 與密碼。因為共用 UID 與密碼,Access Manager 無法分辨代理程式,其使得階段作業保持開啟狀態可能被截取資訊。
當 [識別提供者] 提供有關為協力廠商或企業中未授權群組所開發的應用程式 (或 [服務提供者]) 之使用者的認證、授權與設定檔資訊時,此弱點可能顯現。可能的安全性問題是:
所有應用程式會共用相同的 http 階段作業 cookie。這樣有可能會使得惡意的應用程式奪取階段作業 cookie 並於另一個應用程式中假冒使用者。
若應用程式並未使用 https 協定,階段作業 cookie 容易遭到網路竊聽。
只要有一個應用程式可被奪取,整個基礎架構的安全性就有受到危害的風險。
惡意的應用程式可使用階段作業 cookie 來取得使用者的設定檔屬性並有可能進行修改。若使用者擁有管理權限,應用程式將可能造成更大的災害。
使用 Access Manager 管理控制台為每個代理程式建立項目。
執行下列於建立代理程式期間輸入的密碼指令。應在安裝代理程式的主機上呼叫此命令。
AccessManager-base/SUNWam/agents/bin/crypt_util agent123
如此將提供下列輸出:
WnmKUCg/y3l404ivWY6HPQ==
變更 AMAgent.properties 以反映新值,然後重新啟動代理程式。範例:
# The username and password to use for the Application authentication module. com.sun.am.policy.am.username = agent123 com.sun.am.policy.am.password = WnmKUCg/y3l404ivWY6HPQ== # Cross-Domain Single Sign On URL # Is CDSSO enabled. com.sun.am.policy.agents.cdsso-enabled=true # This is the URL the user will be redirected to after successful login # in a CDSSO Scenario. com.sun.am.policy.agents.cdcservletURL = http://server.example.com:port /amserver/cdcservlet
變更安裝 Access Manager 所在的 AMConfig.properties 以反映新值,然後重新啟動 Access Manager。範例:
com.sun.identity.enableUniqueSSOTokenCookie=true com.sun.identity.authentication.uniqueCookieName=sunIdentityServerAuthNServer com.sun.identity.authentication.uniqueCookieDomain=.example.com
於 Access Manager 主控台中,選取 [配置] > [平台]。
在 [Cookie 網域] 清單中,變更 Cookie 網域名稱: