認證類型

認證服務提供不同的方式讓認證套用。這些不同的認證方法可藉由指定登入 URL 參數或透過認證 API 來獲取 (請參閱使用者指南中「Sun Java System Access Manager 7 2005Q4 Developer’s Guide」中的第 5 章「Using Authentication APIs and SPIs」以取得更多資訊) 。配置認證模組之前，必須先修改 [核心認證] 服務屬性 [範圍認證模組]，使之包括特定的認證模組名稱。

認證配置服務用於為以下任一認證類型定義認證模組：

• 基於範圍的認證

• 基於組織的認證

• 基於角色的認證

• 基於服務的認證

• 基於使用者的認證

• 基於認證層級的認證

• 基於模組的認證

為這些認證類型之一定義認證模組後，便可以將此模組配置為根據認證程序成敗提供重新導向 URL 以及處理後的 Java 類別規格。

認證類型決定存取的方式

這些方法的每一種，使用者都可以核准或是拒絕認證。一旦做出決定，每種方法都會依照此程序。步驟 1 至步驟 3 依照成功的認證；步驟 4 依照成功與失敗兩者的認證。

1. Access Manager 確認認證的使用者是否定義於 Directory Server 資料存放區中，且設定檔是否於使用中。

   核心認證模組中的使用者設定檔屬性可以定義為必需、動態、隨使用者別名動態變化或忽略。認證成功之後，Access Manager 會確認 Directory Server 資料庫中是否定義了要認證的使用者，並且如果使用者設定檔值為必需，再確認設定檔是否在使用中。這是預設情形。如果使用者設定檔為動態配置，認證服務將會在 Directory Server 資料庫中建立使用者設定檔。若使用者設定檔設定為忽略，將不會完成使用者驗證。

2. 認證處理後 SPI 的執行完成。

   核心認證模組包含認證處理後類別屬性，其中可能納入認證處理後類別名稱為其值。AMPostAuthProcessInterface 是處理後介面。它可以執行於成功或失敗認證上或是在登出後。

3. 下列特性會加入階段作業記號，或在階段作業記號中更新，而使用者的階段作業會啟動。

   realm。這是使用者歸屬的範圍 DN。

   Principal。這是使用者的 DN。

   Principals。這是使用者已認證過的名稱清單。此屬性可能有一項以上的值定義為以管道分隔的清單。

   UserId。這是使用者的 DN (與模組傳回的相同)，或在非 LDAP 或 Membership 模組的情況下，為使用者名稱。(所有主體都必需對映到相同的使用者。UserID 為它們所對映之使用者 DN。)

   ---

   備註 –

   此特性可為非 DN 值。

   ---

   UserToken。這是使用者名稱。(所有主體都必需對映到相同的使用者。UserToken 為它們所對映之使用者名稱。)

   Host。這是用戶端的主機名稱或是 IP 位址。

   authLevel。這是使用者已認證過的最高層級。

   AuthType。這是已認證其使用者的認證模組之以直線符號分隔的清單 (例如，module1|module2|module3)。

   clientType。這是用戶端瀏覽器的裝置類型。

   Locale。這是用戶端的語言環境。

   CharSet。這是決定用於用戶端的字元集。

   Role。僅適用於基於角色的認證，此為使用者歸屬的角色。

   Service。僅適用於基於服務的認證，此為使用者歸屬的服務。

4. 在成功或失敗認證後，Access Manager 會尋找重新導向使用者的位置之相關資訊。

   URL 重新導向目的位置可以是 Access Manager 頁面或 URL。重新導向會依據優先順序進行，Access Manager 則根據認證方法及認證是否已成功或已失敗，依此優先順序尋找重新導向。此順序詳述於下列認證方法章節的重新導向部分。

URL 重新導向

於認證配置服務中，您可為成功或失敗的認證指定 URL 重新導向。URL 本身在此服務的 [登入成功 URL] 和 [登入失敗 URL] 屬性中定義。為了啟用 URL 重新導向，您必須將認證配置服務加入您的範圍，使之可用於角色、範圍或使用者的配置。在加入認證配置服務時，請確定您加入的是認證模組，例如 LDAP - REQUIRED。

基於範圍的認證

此認證方法可讓使用者對一個範圍或子範圍進行認證。此為 Access Manager 的預設認證方法。範圍的認證方法是透過對範圍註冊核心認證模組，並定義範圍認證配置屬性來設定的。

基於範圍的認證登入 URL

藉由定義 realm 參數或 domain 參數，可於使用者介面登入 URL 中指定認證的範圍。由下列項目決定認證的請求範圍，其優先順序為：

1. domain 參數。

2. realm 參數。

3. 管理服務中的 DNS 別名屬性值。

   於呼叫正確的範圍後，將從核心認證服務的範圍認證配置屬性擷取使用者將認證的認證模組。用來指定並初始基於範圍的認證的登入 URL 為：

   http://server_name.domain_name:port/amserver/UI/Login http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name

   若無定義的參數，則將從指定於登入 URL 中的伺服器主機和網域決定範圍。

基於範圍的認證重新導向 URL

於基於組織的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於範圍的認證重新導向 URL

成功的基於範圍的認證重新導向 URL 是依優先順序檢查下列位置來決定：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於範圍的認證重新導向 URL

失敗的基於範圍的認證重新導向 URL 是以下列順序檢查下列位置來決定：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

若要配置基於範圍的認證

要為範圍設定認證模組，先對範圍新增核心認證服務。

若要配置範圍的認證屬性

步驟

1. 瀏覽至您要新增認證鏈接的範圍。

2. 按一下 [認證] 標籤。

3. 由下拉式功能表選取 [預設認證鏈接]。

4. 由下拉式功能表選取 [管理認證鏈接]。如果需要管理員的認證模組與使用者的認證模組有所不同，則可以使用此屬性。預設認證模組為 LDAP。

5. 定義了認證鏈接之後，按一下 [儲存]。

基於組織的認證

此認證類型僅可套用至以「舊有」模式安裝的 Access Manager 部署。

此認證方法可讓使用者對一個組織或子組織進行認證。它是 Access Manager 的預設認證方法。用於組織的認證方法是透過註冊核心認證模組到組織，並定義組織認證配置屬性來設定的。

基於組織的認證登入 URL

藉由定義 org 參數或 domain 參數，可以在使用者介面登入 URL 中指定認證的組織。用於認證的請求組織從下列決定，優先順序為：

1. domain 參數。

2. org 參數。

3. 管理服務中 DNS 別名 (組織別名) 屬性的值。

   在呼叫正確的組織後，會從核心認證服務的組織認證配置屬性擷取使用者將認證的認證模組。用於指定和初始化基於組織的認證的登入 URL 為：

   http://server_name.domain_name:port/amserver/UI/Login http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name http://server_name.domain_name:port/amserver/UI/Login?org=org_name

   如果沒有定義的參數，將從登入中的伺服器主機和網域決定組織。

基於組織的認證重新導向 URL

於基於組織的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於組織的認證重新導向 URL

成功的基於組織的認證，其重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 對使用者組織項目的 iplanet-am-auth-login-success-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 使用者組織項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於組織的認證重新導向 URL

失敗的基於組織的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 對使用者組織項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 針對使用者組織項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

若要配置基於組織的認證

要為組織設定認證模組，先為組織加入核心認證服務。

若要配置組織的認證屬性

步驟

1. 瀏覽至您要新增認證鏈接的組織。

2. 按一下 [認證] 標籤。

3. 由下拉式功能表選取 [預設認證鏈接]。

4. 由下拉式功能表選取 [管理認證鏈接]。如果需要管理員的認證模組與使用者的認證模組有所不同，則可以使用此屬性。預設認證模組為 LDAP。

5. 定義了認證鏈接之後，按一下 [儲存]。

基於角色的認證

此認證方法可讓使用者對組織或是子組織之中的角色 (靜態或篩選) 進行認證 。

---

備註 –

於認證配置服務可註冊為實例或角色之前，必需先註冊至範圍中。

---

若要成功認證，使用者必需屬於該角色，並且必需認證到為該角色配置的認證配置服務實例中定義的每個模組。對每個基於角色的認證之實例，可指定下列屬性：

衝突解決層級。 這為認證配置服務實例 (為包含相同使用者的不同角色所定義) 設定優先層級。例如，如果同時將 User1 指定給 Role1 與 Role2，可設定較高的衝突解決層級給 Role1，以便在使用者嘗試認證時，Role1 將具有較高的成功或失敗重新導向及認證後程序優先順序。

認證配置。這會定義針對角色的認證程序配置之認證模組。

登入成功 URL。此項定義在成功認證上重新導向使用者的 URL。

登入失敗 URL。此項定義在失敗認證上重新導向使用者的 URL。

認證處理後類別。此將定義後認證介面。

基於角色的認證登入 URL

透過定義角色參數，可以在使用者介面登入 URL 中指定基於角色的認證。在呼叫正確的角色後，會從為角色定義的認證配置服務實例擷取使用者將認證的認證模組。

用於指定和初始化基於角色的認證的登入為：

http://server_name.domain_name:port/amserver/UI/Login?role=role_name

http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&role=role_name

如果未配置範圍參數，會從指定於登入 URL 自身中的伺服器主機和網域決定角色所屬的範圍。

基於角色的認證重新導向 URL

於基於角色的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於角色的認證重新導向 URL

成功的基於角色的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 已對其認證使用者之角色的 iplanet-am-auth-login-success-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 已認證使用者另一個角色項目的 iplanet-am-auth-login-success-url 屬性之 clientType 自訂檔案中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備案。)

6. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

7. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

9. 已對其認證使用者的角色之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備案。)

11. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

12. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於角色的認證重新導向 URL

失敗的基於角色的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 已對其認證使用者之角色的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 已認證使用者另一個角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備案。)

6. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

7. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

8. 於使用者設定檔 (amUser.xml) 之 iplanet-am-user-failure-url 屬性中設定的 URL。

9. 已對其認證使用者的角色之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備案。)

11. 設定於使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性中的 URL。

12. 於 iplanet-am-auth-login-failure-url 屬性中設定的 URL，作為全域預設值。

若要配置基於角色的認證

步驟

1. 瀏覽至您將新增認證配置服務的範圍 (或組織)。

2. 按一下 [主旨] 標籤。

3. 篩選的角色或角色。

4. 選取要設定認證配置的角色。

   若尚未將認證配置服務新增至角色，請按一下 [新增]，選取 [認證服務]，再按一下 [下一步]。

5. 由下拉式功能表選取您要啟用的 [預設認證鏈接]。

6. 按一下 [儲存]。

   ---

   備註 –

   如果您要建立新的角色，系統不會自動為此角色指定認證配置服務。請確定先選取角色設定檔頁面頂部的 [認證配置服務] 選項，然後再建立角色。

   啟用基於角色的認證後，可以保留 LDAP 認證模組做為預設方式，因為無需配置成員身份。

   ---

基於服務的認證

此認證方法可讓使用者對特定的服務或註冊至範圍或子範圍的應用程式進行認證。服務配置為認證配置服務中的服務實例並且與一個實例名稱相關。若要成功認證，使用者必需認證到每個為服務配置的認證配置服務實例中定義的模組。對每個基於服務的認證之實例，可指定下列屬性：

認證配置。這會定義針對 service 的認證程序配置之認證模組。

登入成功 URL。此項定義在成功認證上重新導向使用者的 URL。

登入失敗 URL。此項定義在失敗認證上重新導向使用者的 URL。

認證處理後類別。此將定義後認證介面。

基於服務的認證登入 URL

透過定義服務參數，可以在使用者介面登入中指定基於服務的認證。在呼叫服務後，會從為服務定義的認證配置服務實例擷取使用者將認證的認證模組。

用於指定和初始化基於服務的認證的登入 URL 為：

http://server_name.domain_name:port/amserver/UI/

Login?service=auth-chain-name

和

http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&service=auth-chain-name

e

如果沒有配置 org 參數，將從指定於登入 URL 自身中的伺服器主機和網域決定範圍。

基於服務的認證重新導向 URL

於基於服務的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於服務的認證重新導向 URL

成功的基於服務的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 已對其認證使用者之服務的 iplanet-am-auth-login-success-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

7. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

9. 已對其認證使用者的服務之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

10. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

11. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

12. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於服務的認證重新導向 URL

失敗的基於服務的認證，其重新導向是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 已對其認證使用者之服務的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

6. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

7. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-failure-url 屬性中的 URL。

9. 已對其認證使用者的服務之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

10. 於使用者角色項目之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

11. 設定於使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性中的 URL。

12. 於 iplanet-am-auth-login-failure-url 屬性中設定的 URL，作為全域預設值。

若要配置基於服務的認證

加入認證配置服務之後，為服務設定認證模組。若要如此，請：

步驟

1. 選擇您要配置基於服務的認證的範圍。

2. 按一下 [認證] 標籤。

3. 建立認證模組實例。

4. 建立認證鏈接。

5. 按一下 [儲存]。

6. 若要存取範圍的基於服務的認證，請輸入下列位址：

   http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&service=auth-chain-name

基於使用者的認證

此認證方法可讓使用者對特別為使用者配置的認證程序進行認證。該程序被配置為使用者設定檔中使用者認證配置屬性的值。若要成功認證，使用者必需認證到每個定義的模組。

基於使用者的認證登入 URL

透過定義使用者參數，可以在使用者介面登入中指定基於使用者的認證。在呼叫正確的使用者後，將從為使用者定義的使用者認證配置服務實例擷取使用者將認證的認證模組。

用於指定和初始化基於角色的認證的登入為：

http://server_name.domain_name:port/amserver/UI/Login?user=user_name

http://server_name.domain_name:port/amserver/UI/Login?org=org_name&user=user_name

如果沒有配置的範圍參數，會從指定於登入 URL 自身中的伺服器主機和網域決定角色所屬的範圍。

使用者別名清單屬性

在接收基於使用者的認證的請求時，認證服務會先驗證使用者是有效的使用者，然後為其擷取認證配置資料。在有一個以上有效使用者設定檔與使用者參數有關的情形時，所有的設定檔必需對映到指定的使用者。使用者設定檔中的使用者別名屬性 (iplanet-am-user-alias-list ) 是能定義其他屬於該使用者的設定檔之位置。如果對映失敗，則使用者會受到有效階段作業的拒絕。異常將是若其中一個使用者為一個頂層管理，則使用者對映驗證並未執行並給予使用者最高的管理權限。

基於使用者的認證重新導向 URL

於基於使用者的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於使用者的認證重新導向 URL

成功的基於使用者的認證，其重新導向是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於使用者的認證重新導向 URL

失敗的基於使用者的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

若要配置基於使用者的認證

步驟

1. 瀏覽至您要為使用者配置認證的範圍。

2. 按一下 [主旨] 標籤並按一下 [使用者]。

3. 按一下您要修改的使用者名稱

   [使用者設定檔] 隨即顯示。

   ---

   備註 –

   如果您要建立新的使用者，系統不會自動為此使用者指定認證配置服務。請確定先於服務設定檔中選取 [認證配置服務] 選項，然後再建立使用者。如果未選取此選項，使用者將無法繼承為角色定義的認證配置。

   ---

4. 於使用者認證配置屬性中，選取您要套用的認證鏈接。

5. 按一下 [儲存]。

基於認證層級的認證

每個認證模組均可與其認證層級的整數值相關聯。藉著按一下 [服務配置] 中認證模組的 [特性] 箭頭，並變更模組之 [認證層級] 屬性的相應值，可以指定認證層級。使用者在一個或多個認證模組中經過認證後，較高的認證層級為使用者定義較高的信任層級。

對模組成功認證使用者後，將在使用者的 SSO 記號上設定認證層級。若必須對多個認證模組認證使用者，同時也成功完成這些認證，將會在使用者的 SSO 記號中設定最高認證層級值。

若使用者嘗試存取服務，服務可檢查使用者的 SSO 記號中之認證層級，來決定是否允許使用者進行存取。然後，它將重新導向使用者以標記的認證層級通過認證模組。

使用者還可以使用特定的認證層級存取認證模組。例如，某使用者使用以下語法執行登入：

http://hostname:port/deploy_URI/UI/Login?authlevel=

auth_level_value

其認證層級大於或等於 auth_level_value 的所有模組將顯示為認證功能表，供使用者選擇。如果僅找到一個相符的模組，則會直接顯示此認證模組的登入頁面。

此認證方法可讓管理員指定可認證身份的模組的安全層級。每個認證模組都有個別的認證層級屬性，而此屬性的值可以被定義為任何有效的整數。藉由認證基於層級的認證，認證服務使用包含認證模組具有等於或大於參數中指定值的認證層級的功能表顯示模組登入頁。使用者可從現有的清單選取一個模組。一旦使用者選取模組後，剩餘的程序則根據基於模組的認證。

基於認證層級的認證登入 URL

透過定義 參數，可以在使用者介面登入中指定認證基於層級的認證。在以模組的相關清單呼叫登入螢幕後，使用者必需選擇一項來認證。用於指定和初始化認證基於層級的認證的登入為：

http://server_name.domain_name:port/amserver/UI/Login?authlevel=authentication_level

和

http://server_name.domain_name:port/amserver/UI/

Login?realm=realm_name&authlevel=authentication_level

如果沒有配置 realm 參數，將從指定於登入 URL 自身中的伺服器主機和網域決定使用者所屬的範圍。

認證基於層級的認證重新導向 URL

於認證基於層級的認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於認證層級的認證重新導向 URL

成功的基於認證層級的認證重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 對使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者設定檔 (amUser.xml) 中的 iplanet-am-user-success-url 屬性中設定一個 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於認證層級的認證重新導向 URL

失敗的基於認證層級的認證重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

5. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

基於模組的認證

使用者可以使用以下語法存取特定認證模組：

http://hostname:port/deploy_URI/UI/Login?module=

module_name

存取認證模組之前，必須先修改 [核心認證] 服務屬性 [範圍認證模組] ，使之包括此認證模組名稱。如果該屬性中未包括此認證模組名稱，使用者嘗試認證時，系統將顯示 [認證模組遭拒] 頁面。

此認證方法可讓使用者指定他們要認證的模組。指定的模組必須註冊至使用者存取的範圍或子範圍。此將配置於範圍核心認證服務的範圍認證模組屬性。在接收此項基於模組的認證請求時，認證服務會驗證模組如說明一樣正確配置，如果未定義模組，使用者會被拒絕存取。

基於模組的認證登入 URL

透過定義模組參數，可以在使用者介面登入中指定基於模組的認證。用於指定和初始化基於模組的認證的登入 URL 為：

http://server_name.domain_name:port/amserver/UI/Login?module=authentication_module_name

http://server_name.domain_name:port/amserver/UI/

Login?org=org_name&module=authentication_module_name

如果沒有配置的 org 參數，將從指定於登入 URL 自身中的伺服器主機和網域決定使用者所屬的範圍。

基於模組的認證重新導向 URL

於模組型認證成功或失敗後，Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於模組的認證重新導向 URL

成功的基於模組的認證，其重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. 使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性之 clientType 自訂檔案中設定的 URL。

4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

5. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

6. 於 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 於使用者設定檔 (amUser.xml) 中的 iplanet-am-user-success-url 屬性中設定一個 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於模組的認證重新導向 URL

失敗的基於模組的認證，其重新導向是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

4. 對使用者角色項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

5. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性，於 clientType 自訂檔案中設定一個 URL。

6. 於 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL，做為全域預設值。

7. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

8. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

9. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。