第 8 章
配置單次登入
本章說明如何配置單次登入 (SSO)。
單次登入 (SSO) 允許使用者認證一次,即可使用多個信任的應用程式,而無需再次認證。Sun Java System 通訊伺服器 (包括 Calendar Server 和 Messaging Server) 可以按照以下說明實現 SSO:
透過 Identity Server 配置 SSO
Sun Java Enterprise System 伺服器 (包括 Calendar Server 和 Messaging Server) 可以使用 Sun Java System Identity Server (發行版本 6.1 [發行版本 6 2003Q4] 或更高版本) 實現 SSO。
Identity Server 充當 Sun Java Enterprise System 伺服器的 SSO 閘道。也就是說,只要其他 Sun Java Enterprise System 伺服器被正確配置為使用 SSO,使用者登入 Identity Server 後便可存取這些伺服器。
若要將 SSO 與 Calendar Server 配合使用,請執行以下步驟:
- 確定已安裝和配置 Identity Server 與 Directory Server。如需有關安裝和配置這些產品的資訊,請參閱「Sun Java Enterprise System 2004Q2 Installation Guide」。
- 為 Calendar Server 配置 SSO 的方法是設定表格 8-1 所示的參數,然後重新啟動 Calendar Server 以使值生效。如有必要,請在設定各參數時移除註釋字元 (!)。
注意當您設定 local.calendar.sso.amnamingurl 參數時,必須使用完全合格的 Identity Server 名稱。
- 若要為 Messaging Server 配置 SSO,請參閱「Sun Java System Messaging Server 6 2004Q2 管理指南」。
- 使用者使用其 Directory Server LDAP 使用者名稱和密碼登入 Identity Server。(透過另一台伺服器 [如 Calendar Server 或 Messaging Server] 登入的使用者將無法使用 SSO 來存取其他 Sun Java Enterprise System 伺服器。)
- 登入之後,使用者可以使用適當的 URL,透過 Calendar Express 存取 Calendar Server。如果其他 Sun Java Enterprise System 伺服器 (如 Messaging Server) 被正確配置為使用 SSO,使用者也可以存取這些伺服器。
表格 8-1 用於透過 Identity Server 使用 SSO 的 Calendar Server 配置參數
|
參數
|
說明
|
|
local.calendar.sso.amnamingurl
|
指定 Identity Server SSO 命名服務的 URL。
預設為 "http://IdentityServer:port/amserver/namingservice"
其中 IdentityServer 是完全合格的 Identity Server 名稱,而 port 是 Identity Server 連接埠號。
|
|
local.calendar.sso.amcookiename
|
指定 Identity Server SSO cookie 的名稱。
預設為 "iPlanetDirectoryPro"。
|
|
local.calendar.sso.amloglevel
|
指定 Identity Server SSO 的日誌級別。範圍為從 1 (無訊息) 到 5 (詳細)。預設為 "3"。
|
|
local.calendar.sso.logname
|
指定 Identity Server SSO API 日誌檔的名稱。
預設為 "am_sso.log"。
|
|
local.calendar.sso.singlesignoff
|
啟用 ("yes") 或停用 ("no") 從 Calendar Server 到 Identity Server 的單次登出。
如果已啟用,則登出 Calendar Server 的使用者還會登出 Identity Server,並且使用者透過 Identity Server 啟動的所有其他階段作業 (如 Messaging Server 網路郵件階段作業) 都會終止。
由於 Identity Server 是認證閘道,因此通常已啟用從 Identity Server 到 Calendar Server 的單次登出。
預設為 "yes"。
|
透過 Identity Server 使用 SSO 的注意事項
- 只要 Identity Server 階段作業有效,行事曆階段作業就有效。如果使用者登出 Identity Server,則行事曆階段作業會自動關閉 (單次登出)。
- SSO 應用程式必須位於同一網域中。
- SSO 應用程式必須可以存取 Identity Server 驗證 URL (命名服務)。
- 瀏覽器必須支援 cookie。
- 如果您使用的是 Sun Java System Portal Server 閘道,請設定以下 Calendar Server 參數:
- service.http.ipsecurity="no"
- render.xslonclient.enable="no"
透過通訊伺服器信任圈技術配置 SSO
透過通訊伺服器信任圈技術 (即不透過 Identity Server) 配置 SSO 時,請考量以下幾點:
- 每個信任的應用程式必須配置為使用 SSO。
- 如果 default.html 頁面位於瀏覽器的快取記憶體中,則 SSO 無法正常運作。使用 SSO 之前,請務必重新載入瀏覽器中的 default.html 頁面。例如,在 Netscape Navigator 中,按住 Shift 鍵,然後按一下 [重新載入]。
- SSO 僅作用於主幹 URL。例如,SSO 可作用於 http://servername,但不能作用於 http://servername/command.shtml?view 之類的 URL。
表格 8-2 說明透過通訊伺服器信任圈技術使用 SSO 的 Calendar Server 配置參數。
表格 8-2 透過通訊伺服器信任圈技術使用的 Calendar Server SSO 參數
|
參數
|
說明
|
|
sso.enable = "1"
|
此參數必須設定為 "1" (預設) 才能啟用 SSO。設定為 "0" 會停用 SSO。
|
|
sso.appid = "ics50"
|
此參數指定用於特定 Calendar Server 安裝的唯一應用程式 ID。每個信任應用程式也必須具有唯一應用程式 ID。預設為 "ics50"。
|
|
sso.appprefix = "ssogrp1"
|
此參數指定用於格式化 SSO cookie 的字首值。所有信任應用程式都必須使用同一值,因為 Calendar Server 僅能識別帶有此字首的 SSO cookie。預設為 "ssogrp1"。
|
|
sso.cookiedomain = ".sesta.com"
|
此參數可使瀏覽器僅向指定網域中的伺服器傳送 cookie。該值必須以句點 (.) 開頭。
|
|
sso.singlesignoff = "true"
|
如果值為 "true" (預設),則在用戶端登出時清除該用戶端上字首值符合 sso.appprefix 中配置的值的所有 SSO cookie。
|
|
sso.userdomain = "sesta.com"
|
此參數可將使用的網域設定為使用者 SSO 認證的一部分。
|
|
sso.appid.url = "verifyurl"
例如:
sso.ics50.url = "http://sesta.com:8883/VerifySSO?"
sso.msg50.url = "http://sesta.com:8882/VerifySSO?"
|
此參數會為 Calendar Server 配置設定同層 SSO 主機的驗證 URL 值。每個信任同層 SSO 主機都需要一個參數。此參數包括:
- 應用程式 ID (appid),用於識別 SSO cookie 將被接受的每個同層 SSO 主機
- 驗證 URL ("verifyurl"),包括主機 URL、主機連接埠號和 VerifySSO? (包括結尾 ?)。
在此範例中,Calendar Server 應用程式 ID 為 ics50,主機 URL 為 sesta.com,連接埠為 8883。
Messenger Express 應用程式 ID 為 msg50,主機 URL 為 sesta.com,連接埠為 8882。
|
表格 8-3 說明透過通訊伺服器信任圈技術使用 SSO 的 Messaging Server 配置參數。
表格 8-3 透過通訊伺服器信任圈技術使用的 Messaging Server SSO 參數
|
參數
|
說明
|
|
local.webmail.sso.enable = 1
|
此參數必須設定為非零值才能啟用 SSO。
|
|
local.webmail.sso.prefix = ssogrp1
|
此參數指定在格式化由 HTTP 伺服器設定的 SSO cookie 時使用的字首。
|
|
local.webmail.sso.id = msg50
|
此參數指定用於 Messaging Server 的唯一應用程式 ID (msg50)。
每個信任應用程式也必須具有唯一應用程式 ID。
|
|
local.webmail.sso.cookiedomain = sesta.com
|
此參數指定由 HTTP 伺服器設定的所有 SSO cookie 的 cookie 網域值。
|
|
local.webmail.sso.singlesignoff = 1
|
如果設定為非零值,則在用戶端登出時清除該用戶端上字首值符合 local.webmail.sso.prefix 中配置的值的所有 SSO cookie。
|
|
local.sso.appid.url = "verifyurl"
例如:
local.sso.ics50.verifyurl = http://sesta.com:8883/VerifySSO?
local.sso.msg50.verifyurl = http://sesta.com:8882/VerifySSO?
|
此參數會為 Messaging Server 配置設定同層 SSO 主機的驗證 URL 值。每個信任同層 SSO 主機都需要一個參數。此參數包括以下項目:
- 應用程式 ID (appid),用於識別 SSO cookie 將被接受的每個同層 SSO 主機
- 驗證 URL ("verifyurl"),包括主機 URL、主機連接埠號和 VerifySSO? (包括結尾 ?)。
在此範例中,Messaging Server 應用程式 ID 為 msg50,主機 URL 為 sesta.com,連接埠為 8882。
Calendar Express 應用程式 ID 為 ics50,主機 URL 為 sesta.com,連接埠為 8883。
|
如需有關將 Messaging Server 配置為使用 SSO 的更多資訊,請參閱「Sun Java System Messaging Server 6 2004Q2 管理指南」。
