第 4 章 實作單次登入
單次登入允許一般使用者進行一次認證,且使用多個應用程式無需重新認證。例如,登入 Communications Express 後,如果行事曆和郵件應用程式中已啟用單次登入功能,您不必重新通過認證即可使用行事曆和郵件應用程式。您可以在 Communications Express 中執行下列單次登入類型:
-
Access Manager 單次登入。在 Communications Express 中啟用 Access Manager 時,執行單次登入。此時,Messenger Express 和 Communications Express 使用 Access Manager 單次登入相互通訊。
-
Messaging 單次登入。如果沒有 Access Manager,Messenger Express 和 Communications Express 會使用 Messaging 單次登入相互通訊。
本章包含以下各節:
設定 Access Manager 單次登入
本節提供有關如何設定 Communications Express 和 Messenger Express 以便使用 Access Manager 單次登入相互通訊的資訊。
如果您已經選擇將 Sun Java System LDAP Schema v.2 用做模式模型,則需要在 Communications Express 中啟用 Access Manager,以使用 Access Manager 的單次登入機制,從而獲取有效的使用者階段作業。
若要讓 Communication Express 使用者使用 Access Manager 單次登入存取 Messenger Express 提供的郵件模組,則需要使用 msg-svr_install_root/sbin /configutil 中的 configutil 工具來修改 Messenger Express 特定參數。由於安裝程式不會設定 Messenger Express 特定參數,因此請務必在安裝後明確設定這些參數。如需有關使用 configutil 工具的更多資訊,請參閱「Sun Java System Messaging Server 管理指南」第 4 章「配置一般郵件傳送功能」。
設定 Access Manager 單次登入時,可以在相同的或不同的 Web 容器實例中,以 SSL 和非 SSL 模式均可以部署 Communications Express 和 Access Manager。在不同的 Web 容器實例中部署 Access Manager 和 Communications Express 時,您需要在部署 Communications Express 的系統上配置 Access Manager 遠端 SDK。下面列出的是在不同 Web 容器實例中,以 SSL 和非 SSL 模式部署 Access Manager 和 Communications Express 之部署分析藍本。
-
在不同 Web 容器實例中以非 SSL 模式部署 Access Manager 和 Communications Express。
-
在不同 Web 容器實例中以 SSL 模式部署 Access Manager 和 Communications Express。
-
在不同 Web 容器實例中部署 Access Manager 和 Communications Express,並且以 SSL 模式部署 Access Manager,以非 SSL 模式部署 Communications Express。
-
在相同系統上的不同 Web 容器中以非 SSL 模式部署 Access Manager 和 Communications Express。
-
在相同系統上的不同 Web 容器中以 SSL 模式部署 Access Manager 和 Communications Express。
在具有 Access Manager 的 Communications Express 中啟用單次登入
步驟
-
開啟 uwc-deployed-path/WEB-INF/config/uwcauth.properties 檔案。
-
在 uwcauth.properties 檔案中修改下列 Communications Express 參數,以啟用 Access Manager 單次登入。
參數
用途
指定是否啟用 Access Manager。
最初在配置程式中設定值。
將屬性設定為 true,可啟用 Access Manager。
將屬性設定為 false,可停用 Access Manager。
指定 Access Manager 登入 URL 的參數。
例如,uwcauth.identity.login.url= http://siroe.example.com:85 /amserver/UI/login。
uwcauth.identity.cookiename
指定 Access Manager 使用的 cookie 名稱。
uwcauth.identity.cookiename 的值應該與 Access Manager 配置程式中指定的值相對應。
Access Manager 使用的預設 cookie 名稱是 iPlanetDirectoryPro。
uwcauth.identity.binddn
指定 amadmin 的完整 DN。
例如,
uid=amAdmin, ou=People, o=siroe.example.com, o=example.com。
備註:uwcauth.identity.binddn 和 uwcauth.identity.bindcred 值應該與安裝 Access Manager 時輸入的值相對應。
例如,uwcauth.identity.binddn=uid=amAdmin, ou=People, o=siroe.example.com, o=example.com 和 uwcauth.identity.bindcred=password。
uwcauth.identity.bindcred
指定 amadmin 的密碼。
uwcauth.http.port
指定於非 SSL 連接埠上配置 Communications Express 時,Communications Express 偵聽的連接埠號碼。
預設連接埠號碼是 80。
uwcauth.https.port
指定於 SSL 連接埠上配置 Communications Express 時,Communications Express 偵聽的 HTTPS 連接埠號碼。
預設 HTTPS 連接埠號碼是 443。
identitysso.singlesignoff
指定單次登出狀態。
如果設定為 true,則在使用者登出時會完全損毀 Access Manager 階段作業,並且參與該 Access Manager 階段作業的所有應用程式都會登出。
如果設定為 false,則僅會損毀 Communications Express 階段作業,並且使用者將進入在 identitysso.portalurl 中配置的 URL。
預設狀態是 true。
identitysso.portalurl
指定要將 Communications Express 重新導向至的 URL。
如果啟用了 Access Manager 並將單次登出設定為 false,則會將 Communications Express 重新導向至指定給 identitysso.portalurl 的 URL。
依預設,Communications Express 將被重新導向至 http://www.sun.com。
-
設定 Communications Express 進行 Access Manager 單次登入時,將參數 uwcauth.messagingsso.enable 的值設定為 false。
Communications Express 現在即可使用 Access Manager 的單次登入機制,獲取有效的使用者階段作業。
在相同的 Web 容器實例中部署 Access Manager 和 Communications Express
步驟
-
開啟 IS-SDK-BASEDIR/lib/AMConfig.properties 檔案。
/opt/SUNWam/lib 即是 IS-SDK-BASEDIR 的範例。
-
確定在 AMConfig.properties 檔案中設定了下列特性:
com.iplanet.am.jssproxy.trustAllServerCerts=true
AMConfig.properties 位於 IS-SDK-BASEDIR/lib
例如,/opt/SUNWam/lib。
-
重新啟動 Web 容器,使變更生效。
在相同的 Web 容器實例中以 SSL 模式部署的 Access Manager 和 Communications Express,現在即可使用 Access Manager 的單次登入機制,以獲取有效的使用者階段作業。
在不同的 Web 容器實例中部署 Access Manager 和 Communications Express
步驟
-
變更至 IS-INSTALL-DIR/bin
-
複製 Access Manager IS-INSTALL-DIR/bin/amsamplesilent 檔案。
cp amsamplesilent amsamplesilent.uwc
-
編輯在上一步中建立的 amsamplesilent 副本。
設定參數,以對應部署的詳細資訊。
如果您要在 Web 容器 (例如 Sun Java System Web Server 或 Sun Java System Application Server) 中部署 Access Manager SDK,則請將 DEPLOY_LEVEL 設定為值 4,亦即選取「僅使用容器配置 SDK」選項。
-
將 AM_ENC_PWD 設定為在 Access Manager 安裝過程中使用的密碼加密金鑰值。
加密金鑰儲存在參數 am.encryption.pwd 中,該參數位於:
${IS_INSTALL_DIR}/lib/AMConfig.properties
-
將 NEW_INSTANCE 設定為 true。
-
如果您要在 Sun Java System Web Server 中部署 Access Manager SDK,則請將 WEB_CONTAINER 設定為 WS6。
如果您要在 Sun Java System Application Server 中部署 Access Manager SDK,則請將 WEB_CONTAINER 設定為 AS7 或 AS8。
-
如需有關 amsamplesilent 檔案中其他參數的更多詳細說明,以及有助於配置 Access Manager 遠端 SDK 參數的更多詳細說明,請參閱「Sun Java System Identity Server 管理指南」第 1 章「Identity Server 2004Q2 配置程序檔」。
-
在 Web 容器中配置 Access Manager SDK。
確定 Access Manager 使用的 Directory Server 正在執行。
-
啟動將要部署 Access Manager SDK 的 Web 容器實例。
-
變更至 IS-INSTALL-DIR/bin。
-
執行下列指令:
./amconfig -s amsamplesilent.uwc
-
重新啟動 Web 容器實例,使配置生效。.
在不同的 Web 容器實例中以 SSL 和非 SSL 模式部署的 Access Manager 和 Communications Express,現在即可使用 Access Manager 的單次登入機制,以獲取有效的使用者階段作業。
備註 –請參閱調校 Communications Express,以取得有關部署 Communications Express 後啟用或停用 Access Manager 的說明。
在具有 Access Manager 的 Messenger Express 中啟用單次登入
步驟
-
執行 configutil 工具。
msg-svr_install_root /sbin/configutil
如果您已經將 Messenger Express 部署為 MEM,請確保 Messaging Server 中的下列參數值與 mshttpd (Messaging Server 的元件,位於 Messaging Server 的後端;MEM 位於 Messaging Server 的前端) 上的值相同:
-
設定下列 Messenger Express 參數,讓 Communication Express 使用者能夠使用 Access Manager 單次登入存取 Messenger Express。
參數
用途
此配置可從 Access Manager 啟用單次登入。
參數應指向 Access Manager 執行命名服務的 URL。
例如,
configutil -o local.webmail.sso.amnamingurl -v http://siroe.example.com:85 /amserver/namingservice
啟用 Communications Express 存取 Messenger Express。
若要停用,請將參數設定成 0。
指定 Messenger Express 用來使 Communications Express 階段作業失效的 URL。
如果您已經在 Messenger Express 中明確配置了 local.webmail.sso.uwclogouturl,則該值將用於登出。否則,Messenger Express 會根據請求標題中的 HTTP 主機來建構登出 URL。
例如,
http://siroe.example.com:85/base/UWCmain?op=logout
如果未將 Communications Express 部署在 / 之下 (如 /uwc),則此參數的值可能會顯示如下:
http://siroe.example.com:85/uwc /base/UWCmain?op=logout
指定 Communications Express 的連接埠。
例如,85。
local.webmail.sso.uwccontexturi
指定部署 Communications Express 的 URI 路徑。
僅當未將 Communications Express 部署在 / 之下時,才應指定這個參數。
例如,如果在 /uwc 中部署了 Communications Express,則 local.webmail.sso.uwccontexturi=uwc
local.webmail.sso.amcookiename
指定 Access Manager 階段作業 cookie 名稱。
確保在 uwcauth.properties 檔案中,將 uwcauth.identity.cookiename 的值設定為 local.webmail.sso.amcookiename 的值。
例如,iPlanetDirectoryPro
local.webmail.sso.uwchome
指定存取首頁連結所需要的 URL。
一旦設定了 Messenger Express 特定參數,Communication Express 使用者就可以使用 Access Manager 單次登入來存取 Messenger Express。
設定 Messaging 單次登入
本節說明如何設定 Communications Express 以使用 Messaging 單次登入。如果您選擇採用 Sun Java System LDAP Schema, v.1 作為模式模型,您需要在 Communications Express 中啟用 Messaging 單次登入,以使用 Messaging 單次登入機制來認證。
配置 Communications Express 時,配置精靈不會設定任何必要的單次登入相關參數。您需要手動設定需要的參數,說明如下。另外,請注意,Messaging 單次登入不支援虛擬網域,而且 Messenger Express 在啟用 Messaging 單次登入時,不會以 SSL 模式執行。
如果您已經將 Messenger Express 部署成 MEM,請確定 Messaging Server 中下列參數的值與後端和前端相同:
-
local.webmail.sso.id
-
local.webmail.sso.uwclogouturl
-
local.webmail.sso.uwchome
-
local.webmail.sso.ims.verifyurl
-
local.webmail.sso.prefix
-
local.sso.uwc.verifyurl
-
local.webmail.sso.cookiedomain
-
local.webmail.sso.enable
-
local.webmail.sso.uwcenabled
-
local.webmail.sso.uwcport
-
local.webmail.sso.singlesignoff
-
local.webmail.sso.uwccontexturi
使用 Messaging 單次登入啟用 Communications Express
步驟
-
開啟 uwc-deployed-path/WEB-INF/config/uwcauth.properties 檔案。
-
在 uwcauth.properties 檔案中修改下列郵件特定參數,以啟用 Communications Express 存取 Messenger Express。
參數
用途
指定前綴,該前綴用來尋找單次登入過程中由其他可信任的應用程式所產生的 cookie。
前綴是用來尋找單次登入過程中由其他可信任的應用程式所產生的 cookie。
如果使用 Messaging 單次登入進行部署,則應該將在 Messaging Server 配置過程中設定的 local.webmail.sso.prefix 值指定給該屬性。
預設值是 iPlanetDirectoryPro
指定 Communications Express 的應用程式 ID。
預設值是 uwc。
指定儲存為單次登入 cookie 一部分的網域名稱。
啟用或停用 Messaging 單次登入功能。
將該參數設定為 true,可啟用單次登入;將該參數設定為 false,可停用單次登入。
同時,設定 Communications Express 進行 Access Manager 單次登入時,確定將 uwcauth.messagingsso.enable 設定為 false。
預設值是 true。
指定儲存單次登入 cookie 的 URI 路徑。
預設值是 /。
messagingsso.xxx.url
指定用來驗證單次登入 cookie 的 URL。
xxx 的值應該用伺服器的應用程式 ID 取代。
例如,如果您要為應用程式 ID 是「msg60」的 Messaging Server 啟用單次登入,則需要增加下列配置參數:
mesagingsso.msg60.url= http://servername/VerifySSO?
此處提及的 xxx 的值應該與在 Messenger Express local.webmail.sso.id 中指定的值相同。
預設值為 http://servername/VerifySSO?
messagingsso.uwc.url
當未將 Communications Express 部署在 / 之下 (如 /uwc),該參數的值可能會顯示如下:
http://servername:85/uwc/VerifySSO?
messagingsso.appid
指定 Messaging Server 的應用程式 ID。
messagingsso.appid 值應該與在 Messaging Server 配置過程中設定的 local.webmail.sso.id 相同。
預設值是 ims。
messagingsso.ipsecurity
決定是否要限制階段作業存取登入的 IP 位址。
如果在使用者登入時設定為 true,則伺服器將會記住使用者用於登入的 IP 位址。則它僅允許 IP 位址使用建立 Messaging Server 單次登入時向使用者發佈的階段作業 cookie。
如果設定為 false,則 Communications Express 將不會執行 IP 位址檢查,並限制存取階段作業。
預設值是 true。
一旦在 uwc-deployed-path/WEB-INF/config/uwcauth.properties 檔案中設定了這些參數,Communication Express 使用者就可以使用 Messaging 單次登入機制取得認證,以存取 Messenger Express。
使用 Messaging 單次登入啟用 Messenger Express
步驟
-
執行 configutil 工具。
msg-svr_install_root/sbin/configutil
-
使用 configutil 工具來設定下列特定於郵件的參數。
參數
用途
當未將 Communications Express 部署在 / 之下 (如 /uwc),該參數的值可能會顯示如下:
http://siroe.example.com:85/uwc /VerifySSO?
local.webmail.sso.id
指定用來使其他應用程式識別 Messenger Express 的值。
此參數的字串值用於設定由 Messenger Express HTTP 伺服器設定的單次登入 cookie 的 cookie 網域值。
該值必須以小數點號 (.) 開頭。例如,如果完全合格的主機名稱是 siroe.example.com,則值為「.example.com」。
確保為該參數指定的值與為 uwcauth.cookiedomain 輸入的值相同。
例如,.example.com
啟用或停用 Messaging 單次登入功能。
將該值設定為 0,可停用 Messaging 單次登入功能。
指定前綴,該前綴用來尋找單次登入過程中由其他可信任的應用程式所產生的 cookie。
確保該值與為 uwcauth.appprefix 輸入的值相對應。
如果設定為 1,則當使用者登出時,伺服器將移除使用者所有與 local.webmail.sso.apprefix 值相符的單次登入 cookie。
如果設定為 0,則伺服器將僅移除其單次登入使用者 cookie。
啟用或停用從 Communications Express 的 Messenger Express 存取。
設定為 1,可從 Communications Express 啟用 Messenger Express 存取。
設定為 0,可從 Communications Express 停用 Messenger Express 存取。
指定 Messenger Express 用來使 Communications Express 階段作業失效的 URL。
如果您已經在 Messenger Express 中明確配置了 local.webmail.sso.uwclogouturl,則該值將用於登出。否則,Messenger Express 會根據請求標題中的 HTTP 主機來建構登出 URL。
例如,http://siroe.example.com:85/base /UWCMain?op=logout
當未將 Communications Express 部署在 / 之下 (如 /uwc),該參數的值可能會顯示如下:
http://siroe.example.com:85/uwc /base/UWCMain?op=logout
指定 Communications Express 的連接埠。
例如,85。
local.webmail.sso.uwccontexturi
指定部署 Communications Express 的路徑。
僅當未將 Communications Express 部署在 / 之下時,才應指定這個參數。例如,如果在 /uwc 中部署了 Communications Express,則 local.webmail.sso.uwccontexturi=uwc
例如,uwc。
local.webmail.sso.uwchome
指定存取首頁連結所需要的 URL。
例如,http://www.sun.com
local.webmail.sso.ims.verifyurl
指定用來驗證單次登入 cookie 的 URL。
例如,http://siroe.example.com/VerifySSO?
此處假設 webmail 部署於連接埠 80。
Communications Express 使用者現在可以使用認證的 Messaging 單次登入機制來存取 Messenger Express。
- © 2010, Oracle Corporation and/or its affiliates