test

Sun Java System Access Manager 7 2005Q4 管理指南

基於認證層級的認證

每個認證模組均可與其認證層級的整數值相關聯。藉著按一下 [服務配置] 中認證模組的 [特性] 箭頭,並變更模組之 [認證層級] 屬性的相應值,可以指定認證層級。使用者在一個或多個認證模組中經過認證後,較高的認證層級為使用者定義較高的信任層級。

對模組成功認證使用者後,將在使用者的 SSO 記號上設定認證層級。若必須對多個認證模組認證使用者,同時也成功完成這些認證,將會在使用者的 SSO 記號中設定最高認證層級值。

若使用者嘗試存取服務,服務可檢查使用者的 SSO 記號中之認證層級,來決定是否允許使用者進行存取。然後,它將重新導向使用者以標記的認證層級通過認證模組。

使用者還可以使用特定的認證層級存取認證模組。例如,某使用者使用以下語法執行登入:

http://hostname:port/deploy_URI/UI/Login?authlevel=

auth_level_value

其認證層級大於或等於 auth_level_value 的所有模組將顯示為認證功能表,供使用者選擇。如果僅找到一個相符的模組,則會直接顯示此認證模組的登入頁面。

此認證方法可讓管理員指定可認證身份的模組的安全層級。每個認證模組都有個別的認證層級屬性,而此屬性的值可以被定義為任何有效的整數。藉由認證基於層級的認證,認證服務使用包含認證模組具有等於或大於參數中指定值的認證層級的功能表顯示模組登入頁。使用者可從現有的清單選取一個模組。一旦使用者選取模組後,剩餘的程序則根據基於模組的認證。

基於認證層級的認證登入 URL

透過定義 參數,可以在使用者介面登入中指定認證基於層級的認證。在以模組的相關清單呼叫登入螢幕後,使用者必需選擇一項來認證。用於指定和初始化認證基於層級的認證的登入為:

http://server_name.domain_name:port/amserver/UI/Login?authlevel=authentication_level

http://server_name.domain_name:port/amserver/UI/

Login?realm=realm_name&authlevel=authentication_level

如果沒有配置 realm 參數,將從指定於登入 URL 自身中的伺服器主機和網域決定使用者所屬的範圍。

認證基於層級的認證重新導向 URL

於認證基於層級的認證成功或失敗後,Access Manager 會尋找重新導向使用者的位置之相關資訊。以下為應用程式尋找此資訊的優先順序。

成功的基於認證層級的認證重新導向 URL

成功的基於認證層級的認證重新導向 URL 是以此優先順序檢查下列位置決定的:

  1. 認證模組設定的 URL。

  2. goto 登入 URL 參數設定的 URL。

  3. 對使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性,於 clientType 自訂檔案中設定一個 URL。

  4. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

  5. 使用者範圍項目之 iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL。

  6. iplanet-am-auth-login-success-url 屬性的 clientType 自訂檔案中設定的 URL,做為全域預設值。

  7. 於使用者設定檔 (amUser.xml) 中的 iplanet-am-user-success-url 屬性中設定一個 URL。

  8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

  9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

  10. iplanet-am-auth-login-success-url 屬性中設定的 URL,作為全域預設值。

失敗的基於認證層級的認證重新導向 URL

失敗的基於認證層級的認證重新導向 URL 是以此順序檢查下列位置決定的:

  1. 認證模組設定的 URL。

  2. gotoOnFail 登入 URL 參數設定的 URL。

  3. 對使用者項目 ( amUser.xml) 的 iplanet-am-user-failure-url 屬性,於 clientType 自訂檔案中設定一個 URL。

  4. 使用者角色項目的 iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL。

  5. 對使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性,於 clientType 自訂檔案中設定一個 URL。

  6. iplanet-am-auth-login-failure-url 屬性之 clientType 自訂檔案中設定的 URL,做為全域預設值。

  7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

  8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

  9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

  10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL,作為全域預設值。