主题
主题定义策略所影响的用户或用户集合(例如,一个组或某个特定角色的拥有者)。主题将被分配给策略。主题的常规规则是:只有当用户至少是策略中的其中一个主题的成员时,才能够应用策略。默认主题包括:
- AM 身份主题
-
在“领域主题”选项卡下创建和管理的身份可作为主体的值进行添加。
- Access Manager 角色
-
任意 LDAP 角色均可作为该主题的值进行添加。“LDAP 角色”是使用 Directory Server 角色功能的任意角色定义。这些角色具有通过 Directory Server 角色定义授权的对象类。可以在“策略配置服务”中修改“LDAP 角色搜索”过滤器以缩小范围并提高性能。
- 验证的用户
-
任何拥有有效 SSO 令牌的用户均为该主题的成员。 所有通过验证的用户都是此“主题”的成员,即使他们已经通过其他组织(而不是定义策略的组织)的验证。如果资源拥有者要开放一些资源(为其他组织的用户所管理的资源)的访问权时,这将非常有用。
- LDAP 组
-
任意 LDAP 组成员均可作为该主题的值进行添加。
- LDAP 角色
-
任意 LDAP 角色均可作为该主题的值进行添加。“LDAP 角色”是使用 Directory Server 角色功能的任意角色定义。这些角色具有通过 Directory Server 角色定义授权的对象类。可以在“策略配置服务”中修改“LDAP 角色搜索”过滤器以缩小范围并提高性能。
- LDAP 用户
-
任意 LDAP 用户均可作为该主题的值进行添加。
- 组织
-
任意组织成员均为该主题的成员
- Web 服务客户机
-
有效值为本地 JKS 密钥库中的可信赖证书(对应于可信赖 WSC 证书)的 DN。 此主题取决于“Liberty Web 服务框架”,并且只能由“Liberty 服务提供者”用来对 WSC 进行授权。 如果 SSO 令牌中包含的负责人的 DN 与此主题的任意选定值匹配,则由该 SSO 令牌标识的 Web 服务客户机 (WSC) 是此主题的成员。
请确保将此“主题”添加到策略之前,您已经创建了密钥库。 您可以从以下位置找到有关设置密钥库的信息:
AccessManager-base /SUNWam/samples/saml/xmlsig/keytool.html
Access Manager 角色与 LDAP 角色
Access Manager 角色是由 Access Manager 创建的。这些角色所具有的对象类由 Access Manager 进行授权。LDAP 角色是使用 Directory Server 角色功能的任意角色定义。这些角色具有通过 Directory Server 角色定义授权的对象类。所有 Access Manager 角色均可被用作 Directory Server 角色。但是,Directory Server 角色并不一定都是 Access Manager 角色。可通过配置策略配置服务从现有目录利用 LDAP 角色。 Access Manager 角色只能通过所属的“Access Manager 策略服务”进行访问。可以在“策略配置服务”中修改“LDAP 角色搜索”过滤器以缩小范围并提高性能。
嵌套角色
嵌套角色可作为策略定义主题中的“LDAP 角色”正确评估。
- © 2010, Oracle Corporation and/or its affiliates