test

Sun Java System Access Manager 7 2005Q4 管理指南

基于验证级别的验证

每个验证模块均可以与其验证级别的整数值相关联。单击“服务配置”中验证模块的属性箭头,然后更改模块的“验证级别”属性相应的值,可以指定验证级别。用户通过验证,获得了对一个或多个验证模块的访问权时,验证级别越高,则它为该用户定义的信任级别就越高。

用户成功地通过模块的验证之后,系统将在用户的 SSO 令牌中设置验证级别。如果用户需要通过多个验证模块的验证并且成功地通过了这些验证,系统将在用户的 SSO 令牌中设置最高的验证级别值。

如果用户试图访问某个服务,该服务可以通过查看用户的 SSO 令牌中的验证级别来确定是否允许该用户进行访问。随后服务将用户重定向,使用户通过具有相应验证级别的验证模块进行访问。

用户还可以访问具有特定验证级别的验证模块。例如,用户使用以下语法进行登录:

http://hostname:port/deploy_URI/UI/Login?authlevel=

auth_level_value

所有验证级别高于或等于 auth_level_value 的模块将显示为验证菜单以供用户选择。如果只找到了一个匹配的模块,则会直接显示该验证模块的登录页。

此验证方法可让管理员指定验证身份的模块的安全级别。每个验证模块都有单独的“验证级别”属性,此属性的值可以定义为任何有效的整数。利用基于验证级别的验证,验证服务会显示一个模块登录页面,其中有一个菜单,包含验证级别等于或大于登录 URL 参数所指定的值的验证模块。用户可以从提供的列表中选择模块。在用户选择模块之后,剩余的进程取决于基于模块的验证。

基于验证级别的验证登录 URL

通过定义 authlevel 参数,可以在“用户界面登录 URL”中指定基于验证级别的验证。在调用含有相关模块列表的登录屏幕之后,用户必须选择一个用于验证的模块。用来指定和启动基于验证级别的验证的登录 URL 是:

http://server_name.domain_name:port/amserver/UI/Login?authlevel=authentication_level

http://server_name.domain_name:port/amserver/UI/

Login?realm=realm_name&authlevel=authentication_level

如果没有配置 realm 参数,将通过登录 URL 中指定的服务器主机和域来确定用户所属的领域。

基于验证级别的验证重定向 URL

在基于验证级别的验证成功或失败后,Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于验证级别的验证重定向 URL

成功的基于验证级别的验证重定向 URL 通过按优先顺序检查以下位置来确定:

  1. 验证模块设置的 URL。

  2. goto 登录 URL 参数设置的 URL。

  3. clientType 自定义文件中为用户概要文件 ( amUser.xml) 的 iplanet-am-user-success-url 属性设置的 URL。

  4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

  5. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

  6. clientType 自定义文件中为 iplanet-am-auth-login-success-url 属性设置的作为全局默认值的 URL。

  7. 用户概要文件 (amUser.xml)iplanet-am-user-success-url 属性中设置的 URL。

  8. 用户角色条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

  9. 用户领域条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

  10. iplanet-am-auth-login-success-url 属性中设置的作为全局默认值的 URL。

失败的基于验证级别的验证重定向 URL

失败的基于验证级别的验证重定向 URL 通过按以下顺序检查以下位置来确定:

  1. 验证模块设置的 URL。

  2. gotoOnFail 登录 URL 参数设置的 URL。

  3. clientType 自定义文件中为用户条目 ( amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

  4. clientType 自定义文件中为用户角色条目的 iplanet-am-user-failure-url 属性设置的 URL。

  5. clientType 自定义文件中为用户领域条目的 iplanet-am-user-failure-url 属性设置的 URL。

  6. clientType 自定义文件中为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

  7. 为用户条目 (amUser.xml)iplanet-am-user-failure-url 属性设置的 URL。

  8. 为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

  9. 为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

  10. iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。