Sun ONE Portal Server 6.2 管理員指南 |
附錄 H
SSO 配接卡範本與配置本附錄描述如何配置單次登入 (SSO) 配接卡,以調整一般使用者可用的選項。
本附錄包含下列章節:
單次登入配接卡的摘要單次登入配接卡的服務讓一般使用者能使用應用程式,例如 Portal Server 提供者或任何其他網路應用程式,以便於在登入一次後即取得對各種資源伺服器的認證存取。可以存取的資源伺服器會依系統中可用 SSO 配接卡介面的實施而定。目前,Sun ONE Portal Server 提供下列資源伺服器的 SSO 配接卡:通訊錄、行事曆與郵件。Instant Messaging 通道的單次登入並非透過 SSO 配接卡達成,而是透過使用 Sun ONE Identity Server 驗證方法達成。如需有關此方法的資訊,請參閱表 12-1 中的 authMethod 屬性。「通訊錄」、「行事曆」和「郵件」服務可以透過下列產品取得:
資源伺服器一般是由使用標準應用程式介面 (API) 的應用程式來存取,例如存取郵件伺服器的 JavaMail。若要建立使用 API 的認證連線,必須提供 API 連線的配置資料。SSO 配接卡的目的在提供此配置資料,而 SSO 配接卡服務用於儲存該資料。
SSO 配接卡服務定義兩種資料層級,範本與配置。SSO 配接卡範本服務定義使用者將可用的連線類別。單一範本由許多使用者來使用。它定義對於使用該範本的所有使用者而言都相同的資料值,包括預設值與哪些值可由使用者編輯的識別。所以,SSO 配接卡範本是定義於全域服務層級。
透過提供組織、角色或使用者的特定資料值,在範本上建立 SSO 配接卡配置。配置參照範本並且從使用者無法編輯之屬性的範本取得資料值。當一般使用者變更 SSO 配接卡配置的使用者可編輯屬性時,該項配置只能套用於該位使用者。
Sun ONE Portal Server 使用 SSO 配接卡服務的通訊通道參照範本或配置,以取得獲得資源伺服器連線所需的資料值。如果通道參照範本,且使用者儲存了配置資訊,參照反而會變更為參照配置。然後配置會參照範本。
SSO 配接卡範本格式:全域SSO 配接卡的全域屬性
表 H-1 說明 SSO 配接卡的全域屬性,實際上只有一個屬性。本表格包括三欄:第一欄識別屬性;第二欄提供屬性的預設值;第三欄描述屬性。
存取 SSO 配接卡範本
若要從 Sun ONE Identity Server 管理主控台存取 SSO 配接卡範本:
關於 SSO 配接卡範本
建立 SSO 配接卡範本以便於處理伺服器設定。範本是以全球資訊網聯合機構 (W3C) 所發佈的 RFC 1738 中描述的單一資源定址器 (URL) 來表示。
範本字串包含當配置時能提供所需資訊至後端系統的各種屬性。
範本字串可編輯以便於讓管理員將值指定至字串內的屬性,並將特定使用規則套用至那些屬性。
範本字串開頭文字為「default」並跟隨管道符號「|」。所以管理員輸入的任何範本字串開頭都必須是「default|」的組合。每個範本字串包含跟隨管道符號的通訊協定。包含 IMAP 與 POP 通訊協定的字串適用於「郵件 SSO 配接卡」實施;開頭為 HTTP 通訊協定的字串是由「行事曆 SSO 配接卡」實施所使用;而開頭為 LDAP 通訊協定的字串是由「通訊錄 SSO 配接卡」實施所使用。
程式碼範例 H-1 是通訊錄 SSO 配接卡範本。此範例使用 LDAP 連接埠 489 代替 LDAP 預設連接埠 389。使用此範例中的非預設 LDAP 連接埠說明當已使用預設 LDAP 連接埠時,則不需要使用兩個程式碼區段:冒號與 LDAP 連接埠號配對-:489-以及跟隨的子字串-&default=port。
範例字串出現在欄位為一長字串;但為方便閱讀,下列字串已分為個別的行,其中換行前面已新增符號 (&)。
下列程式碼行是 SSO 配接卡範本字串或 SSO 配接卡配置字串的前端部分中可能屬性的範例。與程式碼範例 H-1 比較時,此部分說明屬性如何被指定值。表 H-2 清楚說明每個屬性,而表 H-3 則說明屬性的類型。
protocol://uid:password@host:port/?configName=configuration-name&ssoClassName=
sso-adapter-class&...SSO 配接卡範本字串的前面部分對於兩種範本都是適當的格式,能適用於該 Sun ONE Portal Server 實例的所有使用者,而配置適用於特定組織、角色與使用者。然而,前面部分的某些區段通常不會出現在範本或配置字串中。例如,區段「uid:password@」一般不會用於範本中,因為它通常是針對特定使用者的值。
使用上述 SSO 配接卡範本中的區段能為所有使用者設定相同的使用者 ID 與密碼。此配置類型在某些情形中似乎合理。例如,某站台可能想建立列出站點範圍事件的唯讀行事曆。所有使用者使用相同的使用者 ID 與密碼會在其「桌面」上取得「行事曆」通道,且他們會看到相同的行事曆。
表 H-2 SSO 配接卡範本字串的某些屬性
屬性名稱
說明
必要性
protocol
用於與伺服器溝通的通訊協定
選擇性
uid
主機參照的伺服器上使用者的使用者 ID
選擇性
password
主機參照的伺服器上使用者的已編碼密碼
選擇性
host
伺服器主機名稱
選擇性
port
伺服器連接埠號碼
選擇性
configName
SSO 配接卡範本的名稱
必要
ssoClassName
SSO 配接卡的完整合格類別名稱
必要
type
SSO 配接卡範本或配置套用的服務類型。此屬性有助於將 SSO 配接卡範本或配置置入與類型相關的群組,例如當選擇不明確時,將有助於選取預設配置。目前,值可以是下列之一:
選擇性
subType
SSO 配接卡範本或配置套用的廠商或產品特定平台。當您需要支援特定產品或平台功能時,此屬性很有用。目前,值可以是下列之一:
選擇性
enablePerRequestConnection
效能調校選項,此布林屬性有預設 true 的設定。
如果 enablePerRequestConnection=true,則每個對入口網站桌面的請求會開啟對後端儲存的新連線,並關閉連線。
如果 enablePerRequestConnection=false,則入口網站桌面會在入口網站登入時開啟對後端儲存的新連線,並且在使用者的階段作業終止時關閉連線。
選擇性
SSO 配接卡範本能辨識下列屬性類型:
表 H-3 SSO 配接卡範本字串的屬性類型
屬性類型
說明
合併
表示此值為使用者可編輯。在程式碼範例 H-1 中,注意只有兩個值可以由使用者編輯:uid 與 password。
預設
表示屬性設為預設,實際上是一個兩步驟的程序。在程式碼範例 H-1 中,注意 imapPort 設定為字串中某點的特定連接埠 &imapPort=143, 且稍後設定為字串中的預設 &default=imapPort。
包含 SSO 配接卡範本與 SSO 配接卡配置區段的下列範例說明 default 屬性如何作業:
configName=t1&ex1=ex2&exa=exb&default=exa
configName=c1&configDesc=t1
SSO 配接卡實施所見的屬性結果清單就是:
exa=exb
範本中的 ex1=ex2 值會被忽略是因為不是列為預設屬性。
編碼
表示屬性不是以清楚的文字而是以混淆方式傳送。在程式碼範例 H-1 中,注意只有編碼一個值 password。
adminPassword 的值並未編碼。若要編碼屬性如 adminPassword:
1. 將加密值輸入 SSO 配接卡範本字串。對於此範例,加密值會跟隨在下列子字串的等號之後:
&adminPassword=
AMPaswordUtil.encrypt plain-text-value
2. 新增指定 encoded 至您要加密屬性的子字串。對於此範例,屬性是 adminPassword 且新增至字串的尾端 (便利的位置):
&encoded=adminPassword
此動作將 SSO 配接卡範本變更為結尾如下:
...merge=uid&merge=password&encoded
=adminPassword
SSO 配接卡配置格式:動態SSO 配接卡的動態屬性
表 H-4 描述 SSO 配接卡的動態屬性。本表格包括三欄:第一欄識別屬性;第二欄提供屬性的預設值;第三欄描述屬性。
表 H-4 SSO 配接卡 - 動態屬性
屬性
預設值
說明
Conflict ResolutionLevel
最高
設定合併多個範本時,用於排解衝突的 SSO 配接卡範本的衝突排解層級。從最高至最低共有 7 個可用的衝突排解設定。
發生屬性衝突時,即會回復範本中設定為最高衝突排解層級的屬性。
SSOAdapterConfigurations
預設值視安裝時所配置的服務而定
SSOAdapterConfigurations 屬性為一字串清單,其中各字串皆為 URL 的格式。此字串定義於 SSOAdapterTemplates 屬性中所定義的 SSO 配接卡特定實例。
SSO 配接卡的預設值於 SSOAdapterTemplates 屬性中定義,而組織、角色或使用者特定的實例則是儲存在 SSOAdapterConfigurations 屬性中。
存取 SSO 配接卡配置
備註
若要編輯 SSO 配接卡配置,請遵循以下顯示的步驟,如步驟 2 中描述選取「識別管理」標籤存取配置。請勿存取「服務配置」標籤中的配置,該配置描述於「存取 SSO 配接卡範本。」
若要從 Sun ONE Identity Server 管理主控台存取 SSO 配接卡配置:
關於 SSO 配接卡配置
程式碼範例 H-2 是郵件 SSO 配接卡配置。
如前所述,動態 SSO 配接卡配置與全域 SSO 配接卡服務範本具有相同的格式:
protocol://uid:password@host:port/?configName=configuration-name
configDesc=sso-adapter-template&....在 SSO 配接卡範本中,前面部分的某些區段 (例如「uid:password@host:port」) 通常不會出現,但是在 SSO 配接卡配置字串中,雖然該區段類型不會出現在組織或角色層級,但是通常會出現在使用者層級。
可在動態層級識別的屬性為:
表 H-5 SSO 配接卡配置字串中的屬性
屬性
說明
必要性
configName
這是 SSO 配接卡範本或配置定義的唯一識別碼。
必要
configDesc
這是 SSO 配接卡範本的值。動態 SSO 配接卡配置字串中 configDesc 屬性的值與全域 SSO 配接卡字串中 configName 屬性的值相同 (假設兩種字串開頭都是相同的通訊協定)。
必要
SSO 配接卡範本與配置範例兩個範例遵循如何配置與共用入口網站通道的配置。對於兩個範例,分佈在 SSO 配接卡範本與配置之間的資料幾乎完全相同。然而,第一個範例說明如何全域共用屬性,而第二個範例說明如何在單一組織中共用屬性。對於這兩個範例,使用者限於輸入 (在他們必須執行的編輯中) 使用者 ID 與密碼資訊,接著讓他們能從桌面啟動通道。
當您對 SSO 配接卡範本與配置進行如下兩個範例描述的變更,並非所有使用者都會在其桌面上看到這些變更。使用者藉由從桌面編輯通道已經編輯其通道喜好設定,將不會看到管理員對任何現有或新通道所作的變更。對這些使用者實施管理員配置的步驟描述於「某些使用者將不會看到配置變更。」
伺服器定義於 SSO 配接卡範本中
本節描述在全域共用的伺服器上配置 SSO 配接卡範本。所以,所有全域層級的子分部從組織到角色都共用相同的配置。如需在組織層級配置伺服器的資訊,請參閱「伺服器定義於組織層級」。
對於此配置,結果是使用者在其桌面上有「郵件」通道,其中「郵件」通道可編輯且使用者只需要輸入憑證 - 使用者 ID (uid) 和密碼來完成配置。
下列範例建立新的 SSO 配接卡範本、SSO 配接卡配置與「郵件」通道。
- 新增 SSO 配接卡範本,在此範例中命名為 credentialMailTemplate。
- 透過網際網路瀏覽器,登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.siroe.com:80/amconsole
- 按一下「服務配置」標籤,使導覽窗格顯示出可配置的服務清單。
- 將導覽窗格向下捲動至「單次登入配接卡配置」,並按一下「SSO 配接卡」旁的箭頭以便在資料窗格中帶出「SSO 配接卡」頁面。
- 按一下空白的配置描述欄位 (即位在「加入」及「移除」按鈕上方的欄位),該欄位位在相對於「動態」的「全域」標題下之「SSO 配接卡範本」方塊中。
- 在空白的配置描述欄位中,輸入如接續程式碼範例 H-3 中顯示的整個 SSO 配接卡範本字串;除非特定範例也符合您站台的資訊,否則請用您站台的特定資訊取代變數資訊 (所以,若並非全部,請取代下列某些值:credentialMailTemplate,company22.example.com:143, company22.example.com,true,and 1080).
當您找到欄位並非空白時,則全選欄位中的文字並刪除。
程式碼範例 H-3 全域共用的郵件 SSO 配接卡範本
default|imap://company22.example.com:143/?configName=credentialMailTemplate
&encoded=password
&default=protocol
&default=clientProtocol
&default=type
&default=subType
&default=enableProxyAuth
&default=proxyAdminUid
&default=proxyAdminPassword
&default=ssoClassName
&default=enablePerRequestConnection
&default=userAttribute
&default=host
&default=port
&default=smtpServer
&default=clientPort
&default=smtpPort
&enableProxyAuth=false
&proxyAdminUid=[PROXY-ADMIN-UID]
&proxyAdminPassword=[PROXY-ADMIN_PASSWORD]
&type=MAIL-TYPE
&subType=sun-one
&ssoClassName=com.sun.ssoadapter.impl.JavaMailSSOAdapter
&enablePerRequestConnection=true
&userAttribute=uid
&clientProtocol=http
&smtpServer=company22.example.com
&sentFolderCopy=true
&clientPort=1080
&smtpPort=25
&merge=uid
&merge=password
- 按一下「新增」。
- 按一下「儲存」。
在此,開頭為 IMAP 通訊協定的字串可能不止一個。只要接受即可。
- 新增 SSO 配接卡配置,對於此範例命名為 credentialMail。為您的站台選擇自己的範本名稱。
- 透過網際網路瀏覽器,登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.siroe.com:80/amconsole
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 在「檢視」下拉清單中選取「服務」,顯示可配置的服務清單。
- 向下捲動導覽窗格,找到「單次登入配接卡配置」標題,按一下 SSO 配接卡旁的箭頭,資料窗格中即出現 SSO 配接卡頁面。
- 按一下空白配置描述欄位,即位於「新增」及「移除」按鈕上方的欄位。
- 在空白的配置描述欄位中,輸入下列指令碼行,對於此範例其中配置名稱是 credentialMail,而配置描述是 credentialMailTemplate (用您站台的特定資訊取代用於配置名稱與配置描述的名稱):
default|imap:///?configName=credentialMail
&configDesc=credentialMailTemplate當您找到欄位並非空白時,則全選欄位中的文字並刪除。
- 按一下「新增」。
- 按一下「儲存」
- 將新的「郵件通道」新增至「桌面」。對於此範例,新的通道名稱是 CredentialMailChannel。
- 透過網際網路瀏覽器,登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.siroe.com:80/amconsole
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 在「檢視」下拉清單中選取「服務」,顯示可配置的服務清單。
- 將導覽窗格向下捲動至「Portal Server 配置」的標題,並按一下「入口網站桌面」旁的箭頭,以便在資料窗格中顯示「入口網站桌面」頁面。
- 按一下「頻道」與「容器管理」連結。
- 在「通道」標題下方按一下「新增」。
- 在「通道名稱」欄位中輸入新通道的名稱,在本範例中是 CredentialMailChannel。
- 在「提供者」下拉功能表中,選取 MailProvider。
- 按一下「確定」,如此會返回「頻道與容器管理」網頁,其中包含您剛建立好的頻道。
- 在「通道」標題下按一下您剛建立通道名稱旁的「編輯屬性」,對於此範例是 CredentialMailChannel。
- 在「標題」欄位中選取目前存在的任何文字並刪除,例如 mail,然後輸入提供者的標題,對於此範例是 Credential Only Mail Account。
- 在描述欄位中選取目前存在的任何文字並刪除,例如 mail,然後輸入提供者的描述,對於此範例同樣是 Credential Only Mail Account。
- 向下捲動頁面 (仍在資料窗格中);選取目前存在「ssoAdapter」欄位的任何文字並刪除,例如 SunOneMail;然後輸入用於步驟 2 中相同的 SSO 配接卡配置名稱,對於此範例是 credentialMail。
- 視需要捲動畫面,按一下「儲存」。
- 向上捲動頁面,按一下 top,亦即 Container Path 後接的第一個項目。
- 向下捲動到「容器頻道」標題,按一下您要用來加入新頻道的容器連結。例如 MyFrontPageTabPanelContainer。請勿點選旁邊的「編輯屬性」連結。
- 在「通道管理」標題下,按一下剛剛建立通道的名稱。例如,位於「現有通道」清單中的 CredentialMailChannel。
- 按一下「可用」與「可視」清單旁的「新增」按鈕。如此即可讓使用者看見並使用此頻道,無需再做任何配置。
- 向上捲動頁面,按一下「頻道管理」標題下的「儲存」。
您已經將新的郵件通道加入桌面。現在,限制當一般使用者按一下郵件通道中的編輯按鈕時,他們會看見 (而且能夠編輯) 的欄位。您將只能夠保留「使用者 ID」以及密碼欄位。
- 使用 Identity Server 管理主控台以便從目錄伺服器擷取組織的 顯示設定檔文件。請參閱「若要下載與上傳顯示設定檔」 並遵循步驟以下載並儲存 (在本機) 顯示設定檔文件。
- 使用您選擇的編輯程式開啟顯示設定檔文件,並找到您在步驟 3 中建立的通道名稱,例如 CredentialMailChannel。您需要找到的文字段落會與下列文字類似:
<Channel name="CredentialMailChannel" provider="MailProvider" merge="replace">
<Properties>
<String name="title" value="Credential Only Mail Account"/>
<String name="description" value="Credential Only Mail Account"/>
<String name="ssoAdapter" value="credentialMail"/>
</Properties>
</Channel>
- 新增只包含 uid 和 password 的 SSOEditAttributes 集合。此類集合的外觀與下列類似:
<Collection name="ssoEditAttributes">
<String name="uid" value="string|User Name:"/>
<String name="password" value="password|User Password:"/>
</Collection>
在新增此種類型的集合之後,通道定義看起來會與下列類似:
<Channel name="CredentialMailChannel" provider="MailProvider" merge="replace">
<Properties>
<String name="title" value="Credential Only Mail Account"/>
<String name="description" value="Credential Only Mail Account"/>
<String name="ssoAdapter" value="credentialMail"/>
<Collection name="ssoEditAttributes">
<String name="uid" value="string|User Name:"/>
<String name="password" value="password|User Password:"/>
</Collection>
</Properties>
</Channel>
- 使用 Identity Server 管理主控台以上傳新編輯的顯示設定檔文件。請再次參閱「若要下載與上傳顯示設定檔」。現在,請您遵循步驟以上傳顯示設定檔。
- 建立新的入口網站一般使用者並認證至桌面 (選擇性)。
如果您建立新的使用者,他們將會在其入口網站桌面上看到您剛剛進行的配置變更。之前還未從桌面配置任何通道的現有使用者也能看到您剛作的變更。然而,已從桌面配置通道的現有使用者將不會看到您剛剛作的變更。若要讓他們能看到那些變更,請參閱「某些使用者將不會看到配置變更」。
伺服器定義於組織層級
本節說明在組織層級配置 SSO 配接卡範本。在此範例中,用於 SSO 配接卡範本與 SSO 配接卡配置的資料幾乎與「伺服器定義於 SSO 配接卡範本中」中範例所用的資料相同。然而在下列範例中,屬性較多出現在 SSO 配接卡配置而較少出現在 SSO 配接卡範本中。將屬性置入 SSO 配接卡配置能讓您在組織中共用那些屬性而非全域共用屬性。
下列範例建立新的 SSO 配接卡配置與郵件通道。此範例中使用預設的 SSO 配接卡範本。您不需要建立其他範本:
程式碼範例 H-4 在組織內共用的郵件 SSO 配接卡範本。
default|imap:///?configName=SUN-ONE-MAIL
&encoded=password
&default=ssoClassName
&default=protocol
&default=clientProtocol
&merge=host
&merge=port
&merge=uid
&merge=password
&merge=smtpServer
&merge=smtpPort
&merge=sentFolderCopy
&merge=clientPort
&clientProtocol=http
&ssoClassName=com.sun.ssoadapter.impl.JavaMailSSOAdapter
- 新增 SSO 配接卡配置,在此範例中命名為 orgCredentialMail。為您的站台選擇自己的名稱。
- 透過網際網路瀏覽器,登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.siroe.com:80/amconsole
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 在「檢視」下拉清單中選取「服務」,顯示可配置的服務清單。
- 向下捲動導覽窗格,找到「單次登入配接卡配置」標題,按一下 SSO 配接卡旁的箭頭,資料窗格中即出現 SSO 配接卡頁面。
- 按一下空白配置描述欄位,即位於「新增」及「移除」按鈕上方的欄位。
- 在空白的配置描述欄位中,輸入下列指令碼行,對於此範例其中配置名稱是 orgcredentialMail,而配置描述是 SUN-ONE-MAIL;除非此處所用的變數範例也符合您站台的資訊,否則請用您站台的特定資訊取代變數資訊 (所以若並非全部,請取代下列某些值:company22.example.com:143、orgcredentialMail、ccompany22.example.com、true、1080、 和 25)。
default|imap://company22.example.com:143/?
configName=orgCredentialMail
&configDesc=SUN-ONE-MAIL
&smtpServer=company22.example.com
&sentFolderCopy=true
&clientPort=1080
&smtpPort=25當您找到欄位並非空白時,則全選欄位中的文字並刪除。
- 按一下「新增」。
- 按一下「儲存」。
在此,開頭為 IMAP 通訊協定的字串可能不止一個。這完全可接受。
- 將新的「郵件通道」新增至「我的首頁」標籤,對於此範例新的通道名稱是 OrgCredentialMailChannel。
- 透過網際網路瀏覽器,登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.siroe.com:80/amconsole
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 在「檢視」下拉清單中選取「服務」,顯示可配置的服務清單。
- 將導覽窗格向下捲動至「Portal Server 配置」的標題,並按一下「入口網站桌面」旁的箭頭,以便在資料窗格中顯示「入口網站桌面」頁面。
- 按一下「頻道」與「容器管理」連結。
- 在「通道」標題下方按一下「新增」。
- 在「通道名稱」欄位中輸入新通道的名稱,在本範例中是 OrgCredentialMailChannel。
- 在「提供者」下拉功能表中,選取 MailProvider。
- 按一下「建立」,如此會返回「頻道與容器管理」網頁,其中包含您剛建立好的頻道。
- 在「通道」標題下按一下您剛建立通道名稱旁的「編輯屬性」,對於此範例是 OrgCredentialMailChannel。
- 在「標題」欄位中選取目前存在的任何文字並刪除,例如 mail,然後輸入提供者的標題,對於此範例是 Organization Defined Credential Only Mail Account。
- 在描述欄位中選取目前存在的任何文字並刪除,例如 mail,然後輸入提供者的描述,對於此範例同樣是 Credential Only Mail Account。
- 向下捲動頁面 (仍在資料窗格中);選取目前存在「ssoAdapter」欄位的任何文字並刪除,例如 sunOneMail;然後輸入用於步驟 1 中相同的 SSO 配接卡配置名稱,對於此範例是 orgCredentialMail。
- 視需要捲動畫面,按一下「儲存」。
- 向上捲動頁面,按一下 top,亦即 Container Path 後接的第一個項目。
- 向下捲動到「容器頻道」標題,按一下您要用來加入新頻道的容器連結。例如 MyFrontPageTabPanelContainer。請勿點選旁邊的「編輯屬性」連結。
- 在「通道管理」標題下,按一下剛剛建立通道的名稱。例如,位於「現有通道」清單中的 OrgCredentialMailChannel。
- 按一下「可用」與「可視」清單旁的「新增」按鈕。如此即可讓使用者看見並使用此頻道,無需再做任何配置。
- 向上捲動頁面,按一下「頻道管理」標題下的「儲存」。
您已經將新的郵件通道加入桌面。在此配置類型中,當一般使用者按一下此通道的編輯按鈕時,將會填寫「使用者 ID」以及「密碼」以外的所有可編輯欄位,上述兩個欄位則需要使用者自行填寫。如果您想要移除「使用者 ID」以及「密碼」以外的所有欄位,請遵循步驟 4 開始的伺服器定義於 SSO 配接卡範本中章節中的步驟。
- 建立新的入口網站使用者並認證至桌面 (選擇性)。
如果您建立新的使用者,他們將會在其入口網站桌面上看到您剛剛進行的配置變更。之前還未從桌面配置任何通道的現有使用者也能看到您剛作的變更。然而,已從桌面配置通道的現有使用者將不會看到您剛剛作的變更。若要讓他們能看到那些變更,請參閱「某些使用者將不會看到配置變更」。
某些使用者將不會看到配置變更
管理員藉由編輯或建立 SSO 配接卡範本與配置來進行通道配置的變更,包括新增通道。這些變更不會影響所有使用者。影響的使用者為:
然而,對於藉由編輯桌面的通道之前已變更一或多個通道的使用者,管理員必須在變更生效之前直接在使用者層級進行配置變更。例如,當管理員在全域、組織或角色層級新增通道時,通道並不會出現在這些使用者的桌面。
發生此情形的原因是目錄伺服器中「服務類別」運作的方式。配置一或多個通道的使用者會覆寫 SSO 配接卡範本與配置。之後對於這些使用者,管理員在全域、組織或角色層級新增的值於使用者層級將不再繼承。
所以,對於之前已變更一或多個通道配置的每個使用者,請直接在使用者層級配置變更。為其他使用者配置變更較方便的方式是先複製那些範本與配置字串,並為那些需要的使用者直接貼在使用者層級;下列指示假設您將以此方式配置變更。然而若您希望,也可以直接在使用者層級輸入配置字串而不用複製與貼上。
為其他使用者進行配置變更後,請用下列方法之一為需要的使用者直接在使用者層級進行配置變更:
為一到少數使用者變更使用者層級配置
將您剛為其他使用者編輯或建立的 SSO 配接卡範本字串或 SSO 配接卡配置字串複製並貼上需要此變更的使用者,請直接在使用者層級變更如下:
- 若要從 SSO 配接卡配置複製字串:
- 透過網際網路瀏覽器,登入 Sun ONE Identity Server 主控台 (http://hostname:port/amconsole),例如 http://psserver.company22.siroe.com:80/amconsole
- 按一下「識別管理」標籤,在導覽窗格中顯示「檢視」下拉清單。
- 在「檢視」下拉清單中選取「服務」,顯示可配置的服務清單。
- 向下捲動導覽窗格,找到「單次登入配接卡配置」標題,按一下 SSO 配接卡旁的箭頭,資料窗格中即出現 SSO 配接卡頁面。
- 按一下您要複製的字串,例如「default|http:///...」、「default|imap:///...」等等。
- 使用您剛選取的字串顯示於「新增」與「移除」按鈕正上方的配置描述欄位,選取並複製欄位的整體內容並繼續步驟 2。
- 在 Sun ONE Identity Server 管理主控台,按一下「識別管理」標籤以在導覽窗格中顯示「檢視」下拉式清單。
- 在「檢視」下拉式清單中,選取「使用者」以顯示 Sun ONE Portal Server 使用者的清單。
- 在您要編輯的使用者層級配置的使用者旁箭頭上按一下,以顯示另外的「檢視」下拉式清單,但是顯示位置是在資料窗格中。
- 在資料窗格中按一下「檢視」下拉式清單中的 SSO 配接卡。
- 在「新增」與「移除」按鈕正上方按一下配置描述欄位。
- 在配置描述欄位中,貼上您在步驟 1 複製的 SSO 配接卡配置字串。
- 捲動至最右方,貼上「SSO 配接卡配置」方塊。
- 如果尚未選取 (可能選擇為「自訂」、「繼承」與「忽略」),請從下拉式清單中選取「自訂」。
- 視需要將畫面捲動至左邊,然後按一下「儲存」。
為許多使用者變更使用者層級配置 (使用程式檔)
若要直接在使用者層級對許多使用者套用配置變更,您要建立由簡易程序檔組成的檔案,其中識別特定使用者與您要連接這些使用者的特定 SSO 配接卡範本及配置。
您將發出參照此檔的 ldapmodify 指令,藉由實施程序檔的使用者配置變更,檔案接下來會修改目錄伺服器。
- 使用您站台的特定資訊建立類似於程式碼範例 H-5 之中的檔案。
- 使用 .ldif 字尾命名檔案。
- 在檔案中,為需要直接在使用者層級配置 SSO 配接卡的每個使用者建立個別項目。
- 包括每個使用者的四行程式碼。
下列範例檔案只包含兩個範例項目。此檔案命名為 attr.ldif;兩個使用者命名為 user1 與 user2;組織名稱是 siroe;兩位使用者都會參照的 SSO 配接卡配置名稱是 group1imapmail;識別 group1imapmail 配置參照哪個 SSO 配接卡範本的配置描述是 everyoneimap。在此範例中,對於兩位使用者都相同。
程式碼範例 H-5 命名為 attr.ldif 具有目錄伺服器程序檔的檔案
dn uid=user1,ou=People,o=example.com,o=isp
changetype:modify
add:sunSSOAdapterConfigurations
sunSSOAdapterConfigurations:
default|imap:///?configName=group1imapmail&configDesc=everyoneimap
dn uid=user2,ou=People,o=example.com,o=isp
changetype:modify
add:sunSSOAdapterConfigurations
sunSSOAdapterConfigurations:
imap:///?configName=group1imapmail&configDesc=everyoneimap
- 使用類似於程式碼範例 H-6 中使用的 ldapmodify 指令來將您在步驟 1 中建立的檔案傳送至目錄伺服器。當輸入這些指令的程式碼時,使用您站台特定的資訊。
下列範例列出傳送檔案讓目錄伺服器讀取所需的指令。下列是此範例站台特定的資訊:密碼是 mypassword、主機名稱是 localhost;連接埠號碼為預設 389,而要傳送的檔案名稱是 attr.ldif。
程式碼範例 H-6 傳送命名為 attr.ldif 的檔案至目錄伺服器
setenv LD_LIBRARY_PATH Directory-server-install-dir/lib
Directory-server-install-dir/shared/bin/ldapmodify -D "cn=Directory Manager
" -w mypassword -h localhost -p 389 -f attr.ldif
前面的指令碼先設定路徑 LD_LIBRARY_PATH 並指出 ldapmodify 指令的位置。然後會發出 ldapmodify。與此指令一起使用的每個選項摘要如下:
-D
指定區別名稱,在此情形 "cn=Directory Manager" 以連結至目錄
-w
指定密碼,在此情形 mypassword 供認證至目錄
-h
指定主機,在此情形 localhost 目錄伺服器執行之處
-p
指定連接埠,在此情形透過目錄伺服器傾聽的預設連接埠 389
-f
指定檔案,在此情形 attr.ldif 由目錄伺服器讀取
如需更多關於 ldapmodify 指令的資訊,請參閱 Sun ONE Directory Server 管理員指南。