有关 Access Manager 修补程序发行版中的新功能的信息,请参见Access Manager 7 2005Q4 修补程序发行版。Access Manager 7 2005Q4 的初始版包括以下新功能:
Access Manager 7 2005Q4 包含“领域”模式和“传统”模式。两种模式均支持:
Access Manager 7 2005Q4 的新功能
Access Manager 6 2005Q1 功能,但是有以下限制:
创建领域时,不在 Sun Java System Directory Server 中创建相应的组织。
新的 Access Manager 7 2005Q4 控制台无法设置“服务级别 ”(Class of Service, CoS) 模板优先级。参见新的 Access Manager 控制台无法设置 CoS 模板优先级 (6309262)。
Sun Java System Directory Server 和其他数据存储库中的身份库
以下情形必须要用传统模式:
Sun Java System Portal Server
Sun Java System Communications Services 服务器,其中包括 Messaging Server、Calendar Server、Instant Messaging 或 Delegated Administrator
Access Manager 6 2005Q1 和 Access Manager 7 2005Q4 访问同一 Directory Server 时不同部署共存的情形
已为此版本重新设计了 Access Manager 控制台。但是,如果 Access Manager 与 Portal Server、Messaging Server、Calendar Server、Instant Messaging 或 Delegated Administrator 共同部署,则必须在“传统”模式下安装 Access Manager,并使用 Access Manager 6 2005Q1 控制台:
有关详细信息,参见兼容性问题。
Access Manager 身份库包含与身份(如用户、组和角色)相关的信息。使用 Access Manager 或另一置备产品(如 Sun Java System Identity Manager),可创建和维护身份库。
在当前版本中,身份库既可以驻留在 Sun Java System Directory Server 上也可以驻留在 Microsoft Active Directory 上。Access Manager 对身份库可以拥有读/写或只读权限。
Access Manager 信息树包含与系统访问相关的信息。每个 Access Manager 实例均可在 Sun Java System Directory Server 中创建和维护各自的信息树。Access Manager 信息树可拥有任意名称(后缀)。Access Manager 信息树包含领域(和子领域,如有必要),如下节所述。
领域和任意子领域均为 Access Manager 信息树的组成部分,其中可包含:定义用户集和/或组集的配置信息、 用户验证方式、用户可访问资源的范围以及授予用户资源访问权限后应用程序可用的信息。领域或子领域也可包含其他配置信息,其中包括全局化配置、密码重置配置、会话配置、控制台配置和用户首选项。领域或子领域也可为空。
使用 Access Manager 控制台或 amadmin CLI 实用程序可创建领域。有关详细信息,参阅控制台联机帮助或《Sun Java System Access Manager 7 2005Q4 管理指南》中的第 14 章 “amadmin 命令行工具”。
Access Manager 可提供一个与 Web 容器相独立的会话故障转移实现,其中 Sun Java System Message Queue (Message Queue) 为通信代理,Sleepycat Software, Inc. 的 Berkeley DB 为会话存储数据库。Access Manager 7 2005Q4 的增强功能包括用于配置会话故障转移环境的 amsfoconfig 脚本,以及用于启动和停止 Message Queue 代理及 Berkeley DB 客户机的 amsfo 脚本。
会话属性更改通知功能允许 Access Manager 在特定会话属性发生更改时,向特定监听程序发送通知。此功能将在 Access Manager 管理员控制台中启用了“启用属性更改通知”属性后生效。例如,在单点登录 (Single Sign-On, SSO) 环境下,多个应用程序可共享一个 Access Manager 会话。当“通知属性”列表中定义的特定会话属性发生更改时,Access Manager 会向所有已注册的监听程序发送通知。
会话配额限制功能允许 Access Manager 管理员 (amadmin) 设置“活动用户会话”属性,以限制允许某个用户拥有的最大并发会话数。管理员可在全局级别上为所有用户设置会话配额限制,或为某个实体(如组织、领域、角色或用户)设置仅应用于一个或多个特定用户的会话配额限制。
默认情况下,会话配额限制为已禁用(关闭),但管理员可通过在 Access Manager 管理员控制台中设置“启用配额限制”属性来启用它们。
如果用户用尽会话限制配额,管理员也可通过设置“会话配额用尽时的操作”属性来配置系统要执行的操作:
DENY_ACCESS。Access Manager 会拒绝新会话的登录请求。
DESTROY_OLD_SESSION。Access Manager 会中断同一用户下一个即将过期的现有会话,然后允许处理新的登录请求。
“免除顶层管理员的限制检查”属性可指定是否将会话限制配额应用于拥有“顶层管理员角色”的管理员。
Access Manager 7 2005Q4 包括了“分布式验证 UI”,它是一种可在同一部署的两个防火墙间提供安全的分布式验证的远程验证 UI 组件。如果没有“分布式验证 UI”组件,Access Manager 服务 URL 将会向最终用户开放。使用代理服务器虽可避免此现象发生,但对许多部署而言,代理服务器却未必是可接受的解决方案。
“分布式验证 UI”组件安装在 Access Manager 部署的非安全保护 (DMZ) 层中的一台或多台服务器上。分布式验证 UI 服务器并不运行 Access Manager;它存在的目的仅是通过 Web 浏览器向最终用户提供验证界面。
最终用户将发送 HTTP 请求到“分布式验证 UI”,然后“分布式验证 UI”向用户显示登录页面。“分布式验证”组件随即将用户的请求通过第二道防火墙发送到 Access Manager 服务器,这样就可以不用打开最终用户与 Access Manager 服务器之间的防火墙通道。
有关详细信息,参见《Technical Note: Using Access Manager Distributed Authentication 》。
已扩展所有验证模块(默认配置),以支持带有控制台 UI 支持的子模式。可为每个模块类型(已加载的模块类)创建多重验证模块实例。例如,对于 LDAP 模块类型名为 ldap1 和 ldap2 的实例而言,每个实例均可指向不同的 LDAP 目录服务器。支持名称与其类型名称相同的模块实例向后兼容。调用方式为:
server_deploy_uri/UI/Login?module=module-instance-name
在“组织/领域”下创建单独的名称空间,即验证模块实例链。同一链可被重新使用并指定给组织/领域、角色或用户。“验证服务”实例等同于“验证链”。调用方式为:
server_deploy_uri/UI/Login?service=authentication-chain-name
个性化属性
除规则、主题和条件外,现在策略也可拥有个性化属性 (IDResponseProvider)。在适用的策略中,策略评估且发送至客户机的策略决策,现在还包含基于策略的响应个性化属性。支持两种类型的个性化属性:
静态属性。可定义策略中的属性名称和值。
动态属性。可在策略中列出属性名称,而值是在评估策略时从“身份库”数据存储库内获取的。
“策略强制点”(代理)通常将这些属性值作为 HTTP 标头、Cookie 或“请求属性”发送到受保护的应用程序。
Access Manager 7 2005Q4 不支持客户自定义“响应提供者”界面的实现。
会话属性条件
会话策略条件实现 (SessionPropertyCondition ) 会基于用户的 Access Manager 会话中设定的属性值,决定策略是否适用于某个请求。评估策略时,仅当用户 Access Manager 会话的属性值均在条件中有所定义时,条件才会返回 “true”。对于在条件中定义了多个值的属性,用户会话拥有条件中列出的其中一个属性值便已足够。
策略主题
策略主题实现(Access Manager 身份主题)允许将已配置身份库中的条目用作策略主题值。
策略导出
可使用 amadmin 命令,以 XML 格式导出策略。amAdmin.dtd 文件中的新元素 GetPolices 和 RealmGetPolicies 支持此功能。
策略状态
策略现在拥有一个可设置为活动或不活动的状态属性。策略评估期间将忽略处于非活动状态的策略。
Access Manager 7 2005Q4 引入了“站点概念”,可提供对 Access Manager 部署的集中式配置管理。将 Access Manager 配置为站点时,将始终通过负载平衡器传送客户机请求,如此可简化部署,还可解决诸如客户机与后端 Access Manager 服务器之间的防火墙阻断等问题。
Access Manager 7 2005Q4 可以批量联合外包给业务伙伴的应用程序的用户帐户。之前,在“服务提供者”(SP) 与“身份提供者”(IDP) 之间联合帐户需要每个用户同时访问 SP 站点和 IDP 站点,创建帐户(如果尚未创建),然后再通过 Web 链接联合两个帐户。这一过程非常耗时。并且对于使用现有帐户的部署、其自身作为身份提供者的站点或使用其合作伙伴之一作为验证提供者的站点,这种方法往往不适用。
有关详细信息,参见《Sun Java System Access Manager 7 2005Q4 Federation and SAML Administration Guide》。
Access Manager 7 2005Q4 包含以下新的日志记录增强功能:
新的字段(或列):MessageID 字段包含已记录事件的消息标识符。ContextID 字段包含上下文标识符,这与会话标识符类似,将应用至特定用户登录会话的所有事件。对于用户的特定登录会话,在所有已记录事件的日志文件中 ContextID 均相同。
日志记录 API。API 包括读取日志记录的附加功能;如果配置了数据库日志记录,还会读取来自数据库 (DB) 的日志记录。参阅 /opt/SUNWam/samples/logging 目录下的 LogReaderSample.java 文件,该文件显示了如何从平面文件或 DB 表格系统信息库检索日志记录。
数据库表格往往比平面文件日志大。因此,请勿在给定请求中检索数据库表格中的所有记录,因为过大的数据量会耗尽 Access Manager 服务器的全部资源。