第 9 章 管理主题
“主题”界面可用于领域中的基本身份管理。任何在“主题”界面中创建的身份都能在策略(使用“Access Manager 身份主题”类型创建)的主题定义中使用。
你可以创建和修改的身份包括:
用户
用户代表个体身份。可以创建或删除组的用户,也可以从角色和/或组添加或移除用户。此外,还可以将服务指定给用户。
创建或修改用户
步骤
-
单击“用户”选项卡。
-
单击“新建”。
-
为以下字段输入数据:
用户 ID。此字段中应填入用户用来登录到 Access Manager 的名称。该属性可能是一个非 DN 值。
名字。此字段中应填入用户的名字。
姓氏。此字段中应填入用户的姓氏。
全名 —此字段中应填入用户的全名。
密码。— 此字段中应填入“用户 ID”字段中指定的名称的密码。
密码(确认) —确认密码。
用户状态。此选项指示是否允许用户通过 Access Manager 进行验证。
-
单击“创建”。
-
创建用户之后,您可以单击用户的名称来编辑用户信息。有关用户属性的信息,请参阅“用户”属性。您可以进行的其他修改包括:
将用户添加到角色和组
步骤
将服务添加到身份
步骤
-
选择您要添加服务的身份。
-
单击“服务”选项卡。
-
单击“添加”。
-
根据您所选择的身份类型,将显示以下服务列表:
-
验证配置
-
搜索服务
-
Liberty 个人配置文件服务
-
会话
-
用户
-
-
选择您要添加的服务,然后单击“下一步”。
-
编辑服务的属性。有关服务的说明,请单击步骤 4 中的服务名称。
-
单击“完成”。
代理
Access Manager 策略代理可以保护 Web 服务器和 Web 代理服务器上的内容不受未授权的侵入。它们控制对基于策略(由管理员配置)的服务和 Web 资源的访问。
代理对象定义了“策略代理”配置文件,并允许 Access Manager 存储验证和其他有关保护 Access Manager 资源的特定代理的配置文件信息。通过 Access Manager 控制台,管理员可以查看、创建、修改和删除代理配置文件。
可以在代理对象创建页面定义代理用于通过 Access Manager 进行验证的 UID/密码。如果有多个 AM/WS 设置使用相同的 Access Manager,您可以选择为不同的代理启用多个 ID 并且可以从 Access Manager 单独将其启用和禁用。您也可以集中管理代理的一些首选项值,而不必在每台计算机上都编辑 AMAgent.properties。
创建或修改代理
步骤
-
单击“代理”选项卡。
-
单击“新建”。
-
输入以下字段的值:
名称。输入代理的名称或身份。此为代理将用来登录 Access Manager 的名称。不接受多字节名称。
密码。输入代理的密码。此密码必须与在 LDAP 验证过程中代理所使用的密码不同。
确认密码。确认密码。
设备状态。输入代理的设备状态。如果将状态设置为“活动”,代理将能够通过 Access Manager 进行验证并与之进行通信。如果将状态设置为“不活动”,代理将无法通过 Access Manager 进行验证。
-
单击“创建”。
-
创建代理之后,您可以另外编辑以下字段:
说明。输入代理的简短说明。例如,可以输入代理实例名称或此代理保护的应用程序名称。
代理关键字值。使用关键字/值对设置代理属性。Access Manager 使用此属性接收有关用户的证书声明的代理请求。通常仅一个属性有效,所有其他属性都将被忽略。请使用以下格式:
agentRootURL=http:// server_name:port/
创建唯一策略代理身份
默认情况下,当在一个可信赖环境中创建多个策略代理时,这些策略代理包含的 UID 和密码相同。因为 UID 和密码是共享的,所以 Access Manager 不能区分各个代理,这可能导致会话 Cookie 容易被截取。
当“身份提供者”为第三方或企业中未授权组开发的应用程序(或“服务提供者”)提供验证、授权和有关用户的配置文件信息时,这个缺点可能会出现。可能的安全问题包括:
-
所有应用程序共享同一个 http 会话 Cookie。这可能导致某欺骗应用程序夺取会话 Cookie,然后在另一应用程序中冒充用户。
-
如果应用程序不使用 https 协议,则会话 Cookie 可能遭受网络窃听。
-
只要有一个应用程序可被夺取,整个基础结构的安全性就会大打折扣。
-
欺骗应用程序可使用会话 Cookie 来获取用户的配置文件属性并可能进行修改。如果该用户拥有管理权限,则应用程序将能够造成更多损害。
创建唯一策略代理身份
步骤
-
使用 Access Manager 管理控制台为每个代理设置一个条目。
-
运行以下有关密码的命令,此密码是在创建代理过程中输入的。此命令应该在安装代理的主机上调用。
AccessManager-base/SUNWam/agents/bin/crypt_util agent123
此时输出以下信息:
WnmKUCg/y3l404ivWY6HPQ==
-
更改 AMAgent.properties 以反映新值,然后重新启动该代理。示例:
# The username and password to use for the Application authentication module. com.sun.am.policy.am.username = agent123 com.sun.am.policy.am.password = WnmKUCg/y3l404ivWY6HPQ== # Cross-Domain Single Sign On URL # Is CDSSO enabled. com.sun.am.policy.agents.cdsso-enabled=true # This is the URL the user will be redirected to after successful login # in a CDSSO Scenario. com.sun.am.policy.agents.cdcservletURL = http://server.example.com:port /amserver/cdcservlet
-
更改安装有 Access Manager 的 AMConfig.properties 以反映新值,然后重新启动 Access Manager。示例:
com.sun.identity.enableUniqueSSOTokenCookie=true com.sun.identity.authentication.uniqueCookieName=sunIdentityServerAuthNServer com.sun.identity.authentication.uniqueCookieDomain=.example.com
-
在 Access Manager 控制台中,选择“配置”>“平台”。
-
在“Cookie 域”列表中更改 Cookie 域名:
过滤的角色
过滤的角色是 LDAP 过滤器创建的动态角色。在创建角色时,会通过过滤器过滤所有用户并为其分配该角色。 过滤器会搜索条目中的所有属性值对(例如, ca=user*),并自动将包含该属性的用户分配给角色。
创建过滤的角色
步骤
-
在“浏览”窗格中,找到要在其中创建角色的组织。
-
单击“新建”。
-
输入过滤的角色的名称。
-
输入搜索条件信息。
例如,
(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))
如果过滤器保留为空,将默认创建以下角色:
(objectclass = inetorgperson)
-
单击“创建”以基于过滤条件启动搜索。通过过滤条件定义的身份将会自动指定给角色。
-
创建过滤的角色后,单击角色的名称来查看属于该角色的用户。此外,还可以通过单击“服务”选项卡将服务添加到角色。
角色
角色的成员是指拥有该角色的 LDAP 条目。角色本身的条件被定义为具有属性的 LDAP 条目,由条目的区别名 (DN) 属性来标识。 创建角色后,可以手动添加服务和用户。
创建或修改角色
步骤
将用户添加到角色或组
步骤
组
组代表具有共同功能、特性或利益的用户集合。通常来说,这种分组不会涉及权限。组可存在于两个级别,分别是组织和其他受管组中。
创建或修改组
步骤
- © 2010, Oracle Corporation and/or its affiliates