第 5 章 管理範圍

存取控制範圍是一組您可與使用者或使用者群組關聯的認證特性與授權策略。範圍資料儲存於一個專有權資訊樹狀結構中，其為 Access Manager 於您指定的資料存放區中所建立。Access Manager 框架於 Access Manager 資訊樹狀結構中聚集包含於每一個範圍中的策略與特性。依預設，除使用者資料外，Access Manager 7 會自動地將 Access Manager 資訊樹狀結構做為特殊的分支插入 Sun Java Enterprise System Directory Server 中。當使用任何 LDAPv3 資料庫時，您可以使用存取控制範圍。

如需有關範圍的詳細資訊，請參閱「Sun Java System Access Manager 7 2005Q4 Technical Overview」。

於 [範圍] 標籤中，您可為存取控制配置下列特性：

• 認證

• 服務

• 權限

建立及管理範圍

本節描述如何建立及管理範圍。

建立新的範圍

步驟

1. 從 [存取控制] 標籤下的 [範圍] 清單中選取 [新建]。

2. 定義下列一般屬性：

   名稱

   輸入範圍的名稱。

   父系

   定義您正在建立的範圍位置。選取新範圍將存在處的父系範圍。

3. 定義下列範圍屬性：

   範圍狀態

   選擇作用中或非作用中狀態。預設值為 [作用中]。在範圍存在期間，可以透過選取 [特性] 圖示隨時變更該狀態。登入時，選擇 [非作用中] 以停用使用者存取。

   範圍/DNS 別名

   允許加入範圍 DNS 名稱的別名。此屬性僅接受「實際的」網域別名 (不允許使用隨機字串)。

4. 按一下 [確定] 以儲存，或按一下 [取消] 以返回前一個頁面。

一般特性

[一般特性] 頁面顯示範圍的基本屬性。若要修改這些特性，於 [存取控制] 標籤之下按一下 [範圍名稱] 的範圍。然後，編輯下列特性：

範圍狀態

選擇作用中或非作用中狀態。預設值為 [作用中]。在範圍存在期間，可以透過選取 [特性] 圖示隨時變更該狀態。登入時，選擇 [非作用中] 以停用使用者存取。

範圍/DNS 別名

允許加入範圍 DNS 名稱的別名。此屬性僅接受「實際的」網域別名 (不允許使用隨機字串)。

一旦您編輯了特性，請按一下 [儲存]。

認證

一般認證服務必須先註冊為某個範圍的服務，使用者才能使用其他認證模組登入。Access Manager 7 管理員使用核心認證服務可以定義範圍認證參數的預設值。若未於特定認證模組中定義置換值，稍後則可以使用這些值。核心認證服務的預設值定義於 amAuth.xml 檔案中，並於安裝後儲存於 Directory Server 之中。

如需詳細資料，請參閱第 7 章, 管理認證

服務

在 Access Manager 中，服務是由 Access Manager 主控台一起管理的屬性群組。屬性可以只是一些相關資訊，如員工名稱、職稱與電子郵件位址。但屬性通常做為軟體模組的配置參數，如電子郵件應用程式或發薪服務。

經由 [服務] 標籤，您可對範圍新增並配置大量 Access Manager 預設服務。您可以新增下列服務：

• 管理

• 探索服務

• 全域化設定

• 密碼重設

• 階段作業

• 使用者

Access Manager 強制服務 .xml 檔案中必需的屬性皆具有某些預設值。若您具有無值之必需屬性的服務，您需要新增預設值並重新載入服務。

將服務新增至範圍

步驟

1. 按一下您要新增服務的範圍名稱。

2. 選取 [服務] 標籤。

3. 按一下 [服務] 清單中的 [新增]。

4. 選取您要為範圍新增的服務。

5. 按 [下一步]。

6. 定義範圍屬性以配置服務。請參閱線上說明中的「配置」以取得服務屬性的說明。

7. 按一下 [完成]。

8. 若要編輯服務的特性，請按一下服務清單中的名稱。

權限

權限定義對某個範圍內之角色或群組的存取權限。角色或群組被用於 [Access Manager 識別主旨] 類型的策略主旨定義。若要指定或修改權限，按一下您要編輯的角色或群組名稱。您可以指定的權限包括：

• 僅針對策略特性的讀取與寫入存取權

• 所有範圍與策略特性的讀取與寫入存取權

• 所有特性與服務的唯讀存取權