第 9 章 配置單次登入
本章說明如何配置單次登入 (SSO)。
單次登入 (SSO) 允許使用者認證一次,即可使用多個信任的應用程式,而無需再次認證。Sun Java System 通訊伺服器 (包括 Calendar Server 和 Messaging Server) 可以按照以下說明實作 SSO:
透過 Access Manager 配置 SSO
Sun Java Enterprise System 伺服器 (包括 Calendar Server 和 Messaging Server) 可以使用 Sun Java System Access Manager (發行版本 6 2003Q4 或更高版本) 實作 SSO。
Access Manager 充當 Sun Java Enterprise System 伺服器的 SSO 閘道。也就是說,只要其他 Sun Java Enterprise System 伺服器被正確配置為使用 SSO,使用者登入 Access Manager 後便可存取這些伺服器。
將 SSO 用於 Calendar Server
步驟
-
確定已安裝和配置 Access Manager 與 Directory Server。如需有關安裝和配置這些產品的資訊,請參閱「Sun Java Enterprise System 2005Q4 Installation Guide for UNIX」。
-
透過設定透過 Access Manager 配置 SSO中所示的參數為 Calendar Server 配置 SSO,然後重新啟動 Calendar Server 以使這些值生效。如有必要,請在設定各參數時移除註釋字元 (!)。
備註 –
設定 local.calendar.sso.amnamingurl 參數時,您必須使用完全合格的 Access Manager 名稱。
-
若要為 Messaging Server 配置 SSO,請參閱「Sun Java System Messaging Server 6 2005Q4 Administration Guide」。
-
使用者使用其 Directory Server LDAP 使用者名稱和密碼登入 Access Manager。(透過另一台伺服器 [如 Calendar Server 或 Messaging Server] 登入的使用者將無法使用 SSO 來存取其他 Sun Java Enterprise System 伺服器。)
-
登入之後,使用者可以使用相應的 URL 透過 Communications Express 存取 Calendar Server。如果其他 Sun Java Enterprise System 伺服器 (如 Messaging Server) 被正確配置為使用 SSO,使用者也可以存取這些伺服器。
|
參數
|
說明
|
|
local.calendar.sso.amnamingurl
|
指定 Access Manager SSO 命名服務的 URL。
預設為
"http://AccessManager:port/amserver
/namingservice"
其中 AccessManager 為完全合格的 Access Manager 名稱,port 為 Access Manager 連接埠號碼。
|
|
local.calendar.sso.amcookiename
|
指定 Access Manager SSO cookie 的名稱。
預設為 "iPlanetDirectoryPro"。
|
|
local.calendar.sso.amloglevel
|
指定 Access Manager SSO 的記錄層次。範圍為從 1 (無訊息) 到 5 (詳細)。預設為「3」。
|
|
local.calendar.sso.logname
|
指定 Access Manager SSO API 記錄檔的名稱。
預設為:“am_sso.log”
|
|
local.calendar.sso.singlesignoff
|
啟用 (“yes“) 或停用 (“no“) 從 Calendar Server 到 Access Manager 的單次登出。
如果已啟用,則登出 Calendar Server 的使用者還會登出 Access Manager,並且使用者透過 Access Manager 啟動的所有其他階段作業 (如 Messaging Server 網路郵件階段作業) 都會終止。
由於 Access Manager 是認證閘道,因此通常啟用從 Access Manager 到 Calendar Server 的單次登出。
預設為 “yes“。
|
透過 Access Manager 使用 SSO 的注意事項
-
只要 Access Manager 階段作業有效,行事曆階段作業就有效。如果使用者登出 Access Manager,則行事曆階段作業會自動關閉 (單次登出)。
-
SSO 應用程式必須位於同一網域中。
-
SSO 應用程式必須具有對 Access Manager 驗證 URL (命名服務) 的存取權限。
-
瀏覽器必須支援 cookie。
-
如果您使用的是 Sun Java System Portal Server 閘道,請設定以下 Calendar Server 參數:
透過通訊伺服器信任圈技術配置 SSO
透過通訊伺服器信任圈技術 (即不透過 Access Manager) 配置 SSO 時,請考量以下幾點:
下表說明透過通訊伺服器信任圈技術使用 SSO 的 Calendar Server 配置參數。
表 9–1 透過通訊伺服器信任圈技術使用的 Calendar Server SSO 參數
|
參數
|
說明
|
|
sso.enable
|
此參數必須設定為 "1" (預設) 才能啟用 SSO。設定為 "0" 會停用 SSO。
|
|
sso.appid
|
此參數指定用於特定 Calendar Server 安裝的唯一應用程式 ID。每個信任應用程式也必須具有唯一應用程式 ID。預設為:"ics50"
|
|
sso.appprefix
|
此參數指定用於格式化 SSO cookie 的字首值。所有信任應用程式都必須使用同一值,因為 Calendar Server 僅能識別帶有此字首的 SSO cookie。預設為: "ssogrp1"
|
|
sso.cookiedomain
|
此參數可使瀏覽器僅向指定網域中的伺服器傳送 cookie。該值必須以小數點號 (.) 開頭
|
|
sso.singlesignoff
|
如果值為 “true” (預設),則在用戶端登出時清除該用戶端上前綴值與 sso.appprefix 中配置的值相符的所有 SSO cookie。
|
|
sso.userdomain
|
此參數可將使用的網域設定為使用者 SSO 認證的一部分。
|
|
sso.appid。url = "verifyurl"
|
此參數會為 Calendar Server 配置設定同層 SSO 主機的驗證 URL 值。每個信任同層 SSO 主機都需要一個參數。此參數包括:
-
應用程式 ID (appid),用於識別 SSO cookie 將被允准的每個同級 SSO 主機
-
驗證 URL (verifyurl),包括主機 URL、主機連接埠號碼和 VerifySSO? (包括結尾問號 [?])。
在此範例中,Calendar Server 應用程式 ID 為 ics50,主機 URL 為 sesta.com,連接埠為 8883。
Messenger Express 應用程式 ID 為 msg50,主機 URL 為 sesta.com,連接埠為 8882。
例如:
sso.ics50.url=
"http://sesta.com:8883
/VerifySSO?"
sso.msg50.url=
"http://sesta.com:8882
/VerifySSO?"
|
下表說明透過通訊伺服器信任圈技術使用 SSO 的 Messaging Server 配置參數。
表 9–2 透過通訊伺服器信任圈技術使用的 Messaging Server SSO 參數
|
參數
|
說明
|
|
local.webmail.sso.enable
|
此參數必須設定為非零值才能啟用 SSO。
|
|
local.webmail.sso.prefix
|
此參數指定在格式化由 HTTP 伺服器設定的 SSO cookie 時使用的字首。例如:ssogrp1
|
|
local.webmail.sso.id
|
此參數指定 Messaging Server 的唯一應用程式 ID (例如:msg50)。
每個信任應用程式也必須具有唯一應用程式 ID。
|
|
local.webmail.sso.cookiedomain
|
此參數指定由 HTTP 伺服器設定的所有 SSO cookie 的 cookie 網域值。
|
|
local.webmail.sso.singlesignoff
|
如果設定為非零值,則會在用戶端登出時清除該用戶端上前綴值與 local.webmail.sso.prefix 中配置的值相符的所有 SSO cookie。
|
|
local.sso.appid.url= verifyurl
|
此參數會為 Messaging Server 配置設定同層 SSO 主機的驗證 URL 值。每個信任同層 SSO 主機都需要一個參數。此參數包括以下項目:
-
應用程式 ID (appid),用於識別 SSO cookie 將被允准的每個同級 SSO 主機
-
驗證 URL (verifyurl),包括主機 URL、主機連接埠號碼和 VerifySSO? (包括結尾 ?)。
例如:
local.sso.ics50.verifyurl=
http://sesta.com:8883/VerifySSO?
在此範例中,Calendar Server 應用程式 ID 為 ics50,主機 URL 為 sesta.com,連接埠為 8883。
local.sso.msg50.verifyurl=
http://sesta.com:8882/VerifySSO?
在此範例中,Messaging Server 應用程式 ID 為 msg50,主機 URL 為 sesta.com,連接埠為 8882。
|
如需有關配置 Messaging Server 以使用 SSO 的更多資訊,請參閱「Sun Java System Messaging Server 6 2005Q4 Administration Guide」。
