test

Sun Java System Access Manager 7 2005Q4 管理指南

基於角色的認證

此認證方法可讓使用者對組織或是子組織之中的角色 (靜態或篩選) 進行認證 。

備註 –

於認證配置服務可註冊為實例或角色之前,必需先註冊至範圍中。

若要成功認證,使用者必需屬於該角色,並且必需認證到為該角色配置的認證配置服務實例中定義的每個模組。對每個基於角色的認證之實例,可指定下列屬性:

衝突解決層級。 這為認證配置服務實例 (為包含相同使用者的不同角色所定義) 設定優先層級。例如,如果同時將 User1 指定給 Role1Role2,可設定較高的衝突解決層級給 Role1,以便在使用者嘗試認證時,Role1 將具有較高的成功或失敗重新導向及認證後程序優先順序。

認證配置。這會定義針對角色的認證程序配置之認證模組。

登入成功 URL。此項定義在成功認證上重新導向使用者的 URL。

登入失敗 URL。此項定義在失敗認證上重新導向使用者的 URL。

認證處理後類別。此將定義後認證介面。

基於角色的認證登入 URL

透過定義角色參數,可以在使用者介面登入 URL 中指定基於角色的認證。在呼叫正確的角色後,會從為角色定義的認證配置服務實例擷取使用者將認證的認證模組。

用於指定和初始化基於角色的認證的登入為:

http://server_name.domain_name:port/amserver/UI/Login?role=role_name

http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&role=role_name

如果未配置範圍參數,會從指定於登入 URL 自身中的伺服器主機和網域決定角色所屬的範圍。

基於角色的認證重新導向 URL

於基於角色的認證成功或失敗後,Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於角色的認證重新導向 URL

成功的基於角色的認證,其重新導向 URL 是以此順序檢查下列位置決定的:

  1. 認證模組設定的 URL。

  2. goto 登入 URL 參數設定的 URL。

  3. 使用者設定檔 (amUser.xml)iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

  4. 已對其認證使用者之角色的 iplanet-am-auth-login-success-url 屬性之 clientType 自訂檔案中設定的 URL。

  5. 已認證使用者另一個角色項目的 iplanet-am-auth-login-success-url 屬性之 clientType 自訂檔案中設定的 URL。(如果前一個重新導向 URL 失敗,此選項為備案。)

  6. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

  7. iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL,做為全域預設值。

  8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

  9. 已對其認證使用者的角色之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

  10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗,此選項為備案。)

  11. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

  12. iplanet-am-auth-login-success-url 屬性中設定的 URL,作為全域預設值。

失敗的基於角色的認證重新導向 URL

失敗的基於角色的認證,其重新導向 URL 是以此順序檢查下列位置決定的:

  1. 認證模組設定的 URL。

  2. goto 登入 URL 參數設定的 URL。

  3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

  4. 已對其認證使用者之角色的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

  5. 已認證使用者另一個角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。(如果前一個重新導向 URL 失敗,此選項為備案。)

  6. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性,於 clientType 自訂檔案中設定一個 URL。

  7. iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL,做為全域預設值。

  8. 於使用者設定檔 (amUser.xml)iplanet-am-user-failure-url 屬性中設定的 URL。

  9. 已對其認證使用者的角色之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

  10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗,此選項為備案。)

  11. 設定於使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性中的 URL。

  12. iplanet-am-auth-login-failure-url 屬性中設定的 URL,作為全域預設值。

Procedure若要配置基於角色的認證

步驟

  1. 瀏覽至您將新增認證配置服務的範圍 (或組織)。

  2. 按一下 [主旨] 標籤。

  3. 篩選的角色或角色。

  4. 選取要設定認證配置的角色。

    若尚未將認證配置服務新增至角色,請按一下 [新增],選取 [認證服務],再按一下 [下一步]。

  5. 由下拉式功能表選取您要啟用的 [預設認證鏈接]。

  6. 按一下 [儲存]。

    備註 –

    如果您要建立新的角色,系統不會自動為此角色指定認證配置服務。請確定先選取角色設定檔頁面頂部的 [認證配置服務] 選項,然後再建立角色。

    啟用基於角色的認證後,可以保留 LDAP 認證模組做為預設方式,因為無需配置成員身份。