第 2 章
管理認證、使用者與服務

本章描述如何使用Sun™ ONE Identity Server 管理認證、使用者與服務。本章不會嘗試說明 Sun ONE Identity Server 的各方面。相反地，會將重點放在與Sun™ ONE Portal Server 有關的那些方面。如需更多資訊，請參閱 Sun ONE Identity Server 文件。

本章包含下列章節：

Sun ONE Identity Server 的摘要
登入 Sun ONE Identity Server 管理主控台
檢視基本資訊
啟動與停止 Sun ONE Portal Server
管理 Sun ONE Identity Server 服務
管理 Sun ONE Portal Server 使用者
配置認證
Sun ONE Portal Server 如何使用策略管理的摘要
登入 Sun ONE Portal Server 入口網站桌面
管理記錄

---

Sun ONE Identity Server 的摘要

在 Sun™ ONE Portal Server 3.0 (前身為 iPlanet™ Portal Server 3.0) 實作中，您可透過產品本身管理認證方法、建立網域、角色及使用者，與管理其他資料如設定檔屬性及日誌。您也能使用 iPlanet Portal Server 3.0 API 以開發自訂的應用程式。

如今具備 Sun ONE Portal Server 6.2 產品，您能使用 Sun ONE Identity Server 管理功能以及之前在 iPlanet Portal Server 3.0 找到的 API。Sun ONE Identity Server 是平衡 Sun™ ONE Directory Server 管理與潛在安全性的一組工具。Sun ONE Identity Server 的目標在於提供一個介面，以便於讓使用 Sun ONE Directory Server 的組織來管理使用者物件、策略及服務。

Sun ONE Identity Server 能讓：

Sun ONE Directory Server 執行使用者認證與單次登入，增加資料安全性。
管理員根據角色初始化使用者項目管理，出現為使用者項目中屬性的項目群組機制。
開發者定義與管理眾多預設及自訂服務的配置參數。

您能透過圖形使用者介面以網路為基礎的 Sun ONE Identity Server 管理主控台來存取這三項功能。此外，指令行介面 amadmin 能讓您在 Directory Server 上執行批次管理工作。例如，您可以建立、註冊與啟動新服務；以及建立、刪除與讀取 (取得) 組織、人物容器、群組、角色及使用者。

Sun ONE Identity Server 功能摘要

Sun ONE Identity Server 提供下列管理元件。之前，這些元件存在 Sun ONE Portal Server 3.0 本身架構中。

使用者管理-建立與管理使用者相關的物件 (使用者、角色、群組、人物容器、組織、子組織與組織單位物件)。這些可以使用 Sun ONE Identity Server 主控台或指令行介面來定義、修改或刪除。
認證-為使用者認證提供 Plug-in 解決方案。認證特定使用者所需的準則是根據 Sun ONE Portal Server 企業中每個組織配置的認證服務。在被允許存取 Sun ONE Portal Server 階段作業之前，每個使用者都必須成功通過認證。
單次登入-使用者一旦受到認證，單次登入 (SSO) 的 Sun ONE Identity Server API 會接管。每次已獲得認證的使用者嘗試存取受保護的頁面時，SSO API 會根據其認證憑證，決定使用者是否具有所需的權限。如果使用者為有效，則會提供對該頁面的存取而不需要其他認證。如果無效，將會提示使用者再次認證。
服務管理-指定預設與自訂服務的配置參數，包括 Sun ONE Portal Server 產品本身 (Portal Desktop、Rewriter、搜尋與 NetMail) 的配置參數。
策略管理-定義、修改或移除控制對商務資源存取的規則。整體而言，這些規則稱為政策。政策能以角色或組織為基礎，而且能提供權限或定義限制。

比較：Portal Server 3.0 與 Portal Server 6.2

表 2-1 提供 Portal Server 產品所發生主要變更的摘要。許多功能在之前是 Sun ONE Portal Server 3.0 (前身為 iPlanet Portal Server 3.0) 產品的一部分，而現在是 Sun ONE Identity Server 的一部分。在表格中，第一欄列出概念或術語，第二欄定義 Sun ONE Portal Server 3.0 產品中該術語的功能，第三欄描述 Sun ONE Portal Server 6.2 產品中對應的功能。

表 2-1 Sun ONE Portal Server 3.0 對 Sun ONE Portal Server 6.2 之比較 

概念或術語	Sun ONE Portal Server 3.0	Sun ONE Portal Server 6.2
角色樹	您在 Sun ONE Portal Server 3.0 內配置的階層，用於組織使用者與應用程式。角色樹的四個層級為： 根 網域 角色 使用者	角色樹的概念不再適用。 相反地，因為 Sun ONE Identity Server 運用了 Sun ONE Directory Server 的功能，您使用目錄資訊樹 (DIT) 來組織您的使用者、組織、子組織等等。
網域/ 組織	具有共同興趣使用者的頂層群組，例如員工或客戶。請注意這不是 DNS 網域，而是 Sun ONE Portal Server 3.0 用於將使用者群組為邏輯社群的方法。	網域的概念不再適用。相反地，Sun ONE Identity Server 組織 代表企業所使用階層式結構的頂層，用於管理其部門與資源。 在安裝時，Sun ONE Identity Server 會詢問根字尾，預設是由網域名稱導出 (例如，對於網域 sun.com，預設是 dc=sun, dc=com)。在安裝之後可以建立其他的組織以管理分別的企業。所有建立的組織會落在頂層組織之下。在這些子組織中可以嵌入其他子組織。巢式結構沒有深度上的限制。
角色	根據功能分隔網域的成員。角色包含一組屬性與定義使用者桌面策略的策略。	包含可授與使用者的權限或一組權限。這包含儲存在 Sun ONE Directory Server 的識別資訊的存取與管理，以及 Sun ONE Identity Server 策略模組所保護權限的存取。Sun ONE Identity Server 角色也與儲存在服務類別範本的設定檔相關。 角色在 Sun ONE Identity Server 中定義不同，而且它包括單一使用者具備多重角色的能力，之前並未支援。 角色的權限定義於存取控制指令 (ACI) 中。Sun ONE Identity Server 包含幾個預先定義的角色。Sun ONE Identity Server 主控台讓您編輯角色的 ACI 以指定「目錄資訊樹」中的存取權限。
屬性	支援兩種屬性類型：全域與使用者可配置。全域屬性套用整個平台而且只能由「超級管理員」配置。使用者可配置的屬性套用至角色樹的基本層級，如下列章節所描述。獲授權的「網域管理員」可以為網域、父角色、子角色與使用者層級配置這些屬性。在角色樹的使用者層級，如有需要可以為每個使用者自訂某些屬性。	利用 Sun ONE Identity Server 的屬性，其中可以是下列類型之一： 全域 - 套用至全域屬性的值會套用至整個 Sun ONE Identity Server 配置，並由各配置的組織繼承。 動態 - 動態屬性可以指定至 Sun ONE Identity Server 已配置的角色或組織。當角色被指派至使用者或於組織中建立使用者時，動態屬性則會變為使用者的特性。 組織 - 這些屬性只被指定至組織。在那個方面，它們以動態屬性作業。雖然它們不是由子樹的項目繼承，與動態屬性有所不同。 使用者 - 這些屬性直接指定至每個使用者。它們不是繼承自角色或組織，且一般而言對於每個使用者都不同。 策略 - 策略屬性是權限屬性。一旦策略已配置，就能指定至角色或組織。這就是動態屬性與策略屬性唯一的不同；動態屬性直接指定至角色或組織，而策略屬性用於配置策略然後套用至角色或組織。
策略	配置應用程式、桌面、NetFile、Netlet 與其他的入口網站存取策略。	定義誰能對哪些資源執行什麼操作的規則。Sun ONE Identity Server 策略服務能讓組織設定這些規則或策略。一般而言，策略建立於組織 (或子組織) 層級，用於整個組織樹。為了建立命名的策略，特定的策略服務必須先註冊於組織，而策略將建立在該組織之下。 在 Sun ONE Identity Server 6.0 中，策略服務僅由受允許或拒絕的 URL 清單所組成。對於 Portal Server 而言，這不足以建立內容以策略為基礎的桌面。這也是通道存取的策略建立在桌面顯示設定檔的原因。Portal Server 6.2 桌面支援允許合併多個角色通道清單的顯示設定檔。例如，如果您有 25 個角色，每個具有與該角色相關的少數通道，可以配置使用者具備那些角色的任何數目，而它們取得的桌面將會提供所有那些角色的聚集體。合併語義控制來自幾個角色的通道是如何被聚集或合併。為了合併顯示設定檔的目的，階層式排序是強加於 Portal Server 的角色。合併開始會先使用優先順序最低的文件 (最低數)，然後再依序處理優先順序數較高的文件，直到到達使用者層級，即最高優先順序的設定檔。如需合併顯示設定檔的資訊，請參閱第 5 章的「管理顯示設定檔」。
元件/ 服務	Portal Server 3.0 的四個主要元件為伺服器本身、設定檔伺服器、閘道與防火牆。	元件已由 Sun ONE Identity Server 服務取代，那是在一般名稱之下定義的屬性群組。那些屬性定義服務提供組織的參數。Sun ONE Identity Server 是服務架構。 Sun ONE Portal Server 6.2 依靠 Sun ONE Identity Server 提供核心服務，例如認證、使用者管理與策略管理，以及架構以執行 Portal Server 的特定服務 (桌面、NetMail、Rewriter 與搜尋)。
管理介面	提供其本身的管理主控台僅管理 Portal Server 3.0 元件。 指令行介面是 ipsadmin。	使用 Sun ONE Identity Server 管理主控台管理 Sun ONE Identity Server 服務、使用者與策略，以及 Sun ONE Portal Server 的特定服務 (桌面、NetMail、Rewriter 與搜尋。) 取代 ipsadmin 的指令行介面是 amadmin、dpadmin 與 rwadmin。

比較：Portal Server 6.0 與 Portal Server 6.2

表 2-2 提供 Portal Server 6.0 產品與 Portal Server 6.2 產品之間所發生變更的摘要。在表格中，第一欄列出概念或術語，第二欄定義 Sun ONE Portal Server 6.0 產品中該術語的功能，第三欄描述 Sun ONE Portal Server 6.2 產品中對應的功能。

表 2-2 Sun ONE Portal Server 6.0 對 Sun ONE Portal Server 6.2 之比較 

概念或術語	Sun ONE Portal Server 6.0	Sun ONE Portal Server 6.2
策略	指定策略至使用者。一旦命名與建立策略，就能被指定至組織或角色。在組織層級指定策略讓組織中所有項目都可用其屬性。指定策略至角色讓包含該角色屬性的所有使用者都可用其屬性。	授權組織的策略定義與決定給其他組織。(也就是資源的策略決定可以授權給其他策略產品。)參照策略控制策略建立與評估兩者的策略授權。 建立一般策略以定義存取權限。一般策略可由多個規則、物件與條件所組成。
認證功能表	Sun ONE Identity Server 5.1 管理主控台所提供的認證功能表配置功能支援使用者選取的認證模組功能表。	如果您必須配置有效認證模組的可選清單，請使用 Sun ONE Identity Server 管理主控台設定每個認證模組值，與認證層級屬性值相同。如需配置認證模組的資訊，請參閱 第 2 章的「管理認證、使用者與服務」。

Sun ONE Identity Server 限制

當使用 Sun ONE Identity Server 時，下列限制會套用：

預先定義的 Sun ONE Identity Server 角色無法橫跨多個平行的組織，然而角色可以指定至存在於該角色相關的組織中子組織的使用者。此外，藉由建立自訂角色與定義必要的存取控制指令 (ACI) 也可以啟用對多網域資源的存取，以授與角色所需的權限。
使用者必須屬於組織而且只能屬於該組織。
不支援階層式角色。例如，您不能建立等於角色 A 與角色 B 總和的角色 C，而且讓具有角色 C 的使用者能存取角色 A 的資源但是卻不明確指定至角色 A。
RoleAdministratorRole 的存取權限只能直接透過編輯對應的 ACI 來配置。
當角色管理員 (獲授權的管理員) 登入 Sun ONE Identity Server 管理主控台時，他們可以看到相同組織下所有角色與其相關的服務及屬性，即使該角色管理員並沒有權限修改。

Sun ONE Identity Server 介面

Sun ONE Identity Server 管理主控台

這個以瀏覽器為基礎的主控台提供圖形使用者介面來管理 Sun ONE Identity Server 企業，包括 Sun ONE Portal Server 服務。管理主控台有預設管理員具備不同程度的權限，用於建立與管理服務、策略與使用者。(可以根據角色建立其他授權的管理員。)如需更多資訊，請參閱第 3 章的「配置授權管理」。

Sun ONE Identity Server 管理主控台分為三個部分：位置窗格、導覽窗格與資料窗格。藉由使用這三個窗格，您可以導覽目錄、執行使用者與服務配置，並建立策略。

如需更多資訊，請參閱第 1 章的「管理 Sun™ ONE Portal Server 簡介」。

Sun ONE Identity Server 指令行

Sun ONE Identity Server 指令行介面是 amadmin 用於管理伺服器，而 amserver 用於停止與啟動伺服器程序。amadmin 也用於將 XML 服務檔案載入目錄伺服器，以及在目錄樹上執行批次管理工作。Sun ONE Portal Server 3.0 指令行介面 ipsadmin 與 ipsserver 不再受到使用。

如需 amadmin 的詳細資訊，請參閱 Sun ONE Identity Server 文件。

---

登入 Sun ONE Identity Server 管理主控台

您可以用兩種方式登入 Sun ONE Identity Server 主控台：

使用特定的 URL
透過 HTTPS

當您登入管理主控台時，呈現的功能會依您的存取權限而定。存取權限是根據指定給您的 ACI 或角色來決定。例如，超級使用者能看到管理主控台的所有功能；獲授權的管理員可能只看到此功能子集，也許只屬於子組織；而一般使用者只能看到與其特定使用者 ID 有關的使用者屬性。

目前有兩種 URL 可用於登入管理主控台：

http://host:port/amconsole/
http://host:port/amserver/

/amconsole URL 明確請求 Sun ONE Identity Server 管理主控台的 HTML 頁面。如果您使用 /amconsole 登入，則會開啟管理主控台，然後您將看到 URL 變更為 /amserver/UI/login，所以使用者可認證。無論配置如何，此 URL 可用於存取管理主控台。

/amserver URL 請求 Sun ONE Identity Server 服務的 HTML 頁面。雖然 Sun ONE Portal Server 安裝時的預設設定是重新導向此 URL 以登入管理主控台，因為 /amserver URL 存取 Sun ONE Identity Server 服務，所以此 URL 可用於讓主控台以外的其他服務可用。例如，

如果使用者存取具有有效階段作業的應用程式，應用程式可以使用 goto 參數將 /amserver URL 請求重新導向 amserver/UI/login。例如，Sun ONE Portal Server 桌面以及 Sun ONE Identity Server 代理程式都會如此做。
客戶可以在使用者進入某些應用程式或入口網站的起點將他們導向 amserver/UI/login。其預設重新導向 URL 可能接下來是某些入口網站應用程式或自訂應用程式。
自訂應用程式可以直接呼叫 amserver/UI/login 以認證。

若要登入 Sun ONE Identity Server 管理主控台

使用特定的 URL：
輸入 http://host:port/amserver/
或
輸入 http://host:port/amconsole/
使用 HTTPS：
輸入 https://host:ssl_port/amconsole/

使用 IP 位址配置登入管理主控台

您無法使用伺服器的 IP 位址登入 Sun ONE Identity Server 管理主控台。這是因為 Sun ONE Identity Server 的 cookie 網域設定。

但是您可以將本機主機的 IP 位址新增至管理主控台的 Cookie 網域清單。

選取位置窗格中的「服務配置」。
按一下「平台」。
將您本機主機的 IP 位址新增至「全域」。

現在您應該可以用 IP 位址而不是網域名稱存取管理主控台。

---

檢視基本資訊

可用程序檔讓您顯示關於產品的基本資訊，例如 Sun ONE Portal Server 的版本與建立日期，以及 jar 檔案的版本與建立日期。版本程序檔安裝於 portal-server-installation-root/SUNWps/bin 目錄，其中 portal-server-installation-root 是您安裝 Sun ONE Portal Server 的基礎目錄。預設是 /opt。

若要檢視產品資訊：

變更目錄為安裝程序檔的目錄。方法是：

cd portal-server-installation-root/SUNWps/bin

若要檢視關於 Sun ONE Portal Server 的資訊，請輸入

./version

若要檢視關於 Sun ONE Portal Server 的 jar 檔案資訊，請鍵入

./version jar-file

其中 jar-file 是 jar 檔案的名稱。

---

啟動與停止 Sun ONE Portal Server

本節描述如何停止與啟動 Sun ONE Portal Server。因為 Sun ONE Portal Server 依靠 Sun ONE Identity Server，您不會直接啟動與停止 Sun ONE Portal Server。您必須重新啟動 Sun ONE Identity Server 伺服器本身。

若要啟動 Sun ONE Portal Server，請輸入：
/etc/init.d/amserver start
若要啟動多重實例 Sun ONE Portal Server，請輸入：
/etc/init.d/amserver startall
若要停止 Sun ONE Portal Server，請輸入：
/etc/init.d/amserver stop

備註	您不需要停止伺服器來重新啟動。如果您啟動已經在執行的伺服器，該伺服器會停止並重新啟動。

這些指示會因網路容器而有所不同。如需更多資訊，請參閱 Sun ONE Portal Server 6.1 Developer' s Guide。

Sun ONE Portal Server 支援各種平台語言環境。若要以安裝預設以外的值啟動 Sun ONE Portal Server，請參閱 Sun ONE Portal Server 6.1 Developer' s Guide。

---

管理 Sun ONE Identity Server 服務

本節提供 Sun ONE Portal Server 所使用 Sun ONE Identity Server 服務的簡介。如需完整資訊，請參閱 Sun ONE Identity Server 文件。

安裝與 Sun ONE Web Server 封裝

如果之前並未安裝 Sun ONE Identity Server，Sun ONE Portal Server 安裝程式會執行 Sun ONE Identity Server 安裝程式。
Sun ONE Portal Server 與 Sun ONE Identity Server 共用網路容器。網路容器指定網路元件的運行時間環境，包括並行性、部署、生命週期管理、安全性、交易與其他服務。
Sun ONE Portal Server 使用 JVM™ 與 Sun ONE Identity Server 提供的其他元件。

使用者管理

Sun ONE Portal Server 將其設定檔資訊儲存在使用 Sun ONE Identity Server API 的 Sun ONE Identity Server。
Sun ONE Portal Server 運用 Sun ONE Identity Server 的多重角色支援。
Sun ONE Portal Server 使用開放且非專用標準的綱目屬性，例如 givenName。
Sun ONE Identity Server 提供對 LDAP 目錄的直接存取。

單次登入/認證

在 Sun ONE Portal Server 6.2 中，認證是由 Sun ONE Identity Server 管理。
Sun ONE Identity Server 提供所有認證模組。
Sun ONE Portal Server 使用 Sun ONE Identity Server 策略屬性來限制存取。

服務管理

Sun ONE Portal Server 6.2 定義下列 Sun ONE Identity Server 服務：

桌面 - 提供入口網站的前端，而且是對入口網站的一般使用者主要介面。如需設定與管理入口網站桌面的資訊，請參閱第 4 章的「管理 Portal Desktop 服務」。
NetMail - 存取網際網路中的 IMAP 與 SMTP 郵件伺服器，並且讓使用者透過入口網站存取郵件。如需設定與管理 NetMail 的資訊，請參閱第 6 章的「管理 NetMail 服務」。
Rewriter - 實施管理員設定的規則重新編寫 URL 以提供適當的存取。如需設定與管理 Rewriter 的資訊，請參閱第 7 章的「管理 Rewriter 服務」。
搜尋 - 提供 Sun ONE Portal Server 的搜尋功能，包括可用文件的基本與進階搜尋通道。如需設定與管理「搜尋」服務的資訊，請參閱第 8 章的「管理搜尋引擎服務」。

---

管理 Sun ONE Portal Server 使用者

目錄資訊樹 (DIT) 將您的使用者、組織、子組織等組織成邏輯或階層式的結構，讓您有效管理並指定適當的存取給假設那些角色或包含在那些組織內的使用者。本節藉由提供關於組織、子組織與角色的功能，並提供建立與管理組織、角色與使用者的程序，來提供資訊幫助您計劃目錄結構或位於您入口網站伺服器實施之下的樹。

備註	Sun ONE Portal Server 6.2 支援組織；之前 Sun ONE Portal Server 3.0 使用網域的概念。

Sun ONE Identity Server 中組織樹的頂端是在安裝時指定。在安裝之後可以建立其他的組織以管理分別的企業。所有建立的組織會落在頂層組織之下。在這些子組織中可以嵌入其他子組織。巢式結構沒有深度上的限制。

備註	樹的頂端不需要稱為 isp。它可以是任何名稱。但是組織具有常規頂端的樹，例如 isp，其樹中的組織可以共用角色。

角色是新的群組機制，設計讓應用程式更有效率且更易於使用。每個角色都有成員或擁有角色的項目。藉由群組，您可以明確或動態指定角色成員。角色機制會自動產生包含所有角色定義 DN 的 nsRole 屬性，而在定義中項目是成員。每個角色包含可授與使用者的權限或一組權限。在 Sun ONE Portal Server 6.2 中，可以將多重角色指定給單一使用者。角色的權限定義於存取控制指令 (ACI)。Sun ONE Portal Server 包含幾個預先定義的角色。Sun ONE Identity Server 主控台讓您編輯角色的 ACI 以指定「目錄資訊樹」中的存取權限。內建的範例包括 Top-level Admin Role 與 Top-level Help Desk Admin Role。您可以建立各組織可共用的其他角色。

計劃組織、子組織與角色

在您計劃 DIT 結構時，必須決定要使用階層式或平面式的樹結構。就一般規則，您應該努力讓您的樹層次盡可能少。然而，隨著您組織大小的成長，具有某種程度階層對於幫助授與及管理使用者存取而言很重要。對於建立您的 DIT 結構，Sun ONE Identity Server 中三個重要的結構實體為組織 (或子組織)、角色與使用者。在您計劃結構之前，應該了解這些實體中每一個的功能、特性與相互關係。

組織與子組織

允許建立可以代表或模型化您企業或組織階層的階層式關係。
可以包含其對應管理所建立的使用者。這為管理與存取控制目的提供了將使用者群組在一起的方法。如果將具有相似需求的使用者群組在一起，通常較容易管理與控制存取。
可以透過管理主控台，由父系組織或子組織中的管理員很容易地建立或移除。然而當移除時，所有從屬的組織與使用者也會被移除，所以當名稱或結構有可能變更時不適合。

角色

允許指定權限或一組權限給使用者。在組織中可以定義多重角色以提供特定權限組給使用者。
定義權限可透過必須直接編輯的存取控制指令 (ACI)。一旦定義，可以輕鬆指定或解除指定至組織、子組織或使用者。從實體解除指定角色僅套用至該實體。角色仍將存在且保留指定並可用於重新指定至其他實體，所以較適合經常需要變更存取的組織。
可以控制通道的能見度與使用者覆寫通道的能力。XML 顯示設定檔中的設定可讓 XML 文件的通道依預設可見或不可見。此外，XML 文件的預設通道可以防止被覆寫。

使用者

代表人員的身份。可以在組織或子組織內由其管理員建立。
可以與多重角色相關，旦使用者必須在角色的範圍內。此外，使用者繼承子組織的屬性。
只能屬於一個組織或子組織；然而，如果管理員有權限，可以輕鬆將使用者從一個組織移至另一個組織。
可以將通道的能見度個人化。

分析藍本 1：具有子組織與角色的階層式結構

雖然您應該努力讓結構層次盡可能少，某些階層對於提供必要的群組很有用。建立階層式結構的高層級步驟為：

建立頂層組織。
識別您企業中所有使用者的功能性或組織性群組，並決定您要用哪些來建立 DIT 結構實體，也就是需要具備特定權限的那些群組。一般而言，這應該只是您企業中最大的子分部，而管理員用於管理它們。使用常規或功能性的名稱，這樣重新組織與名稱變更就不會是問題。
對於每個與頂層組織有某種關聯的 DIT 實體，為該實體建立子組織 (也就是在 Sun ONE Identity Server 世界中位於另一個組織下的組織) 或角色。

使用下列指導方針決定要使用子組織或角色：

為包含具有相似存取需求使用者群組的實體定義子組織。一般而言，這會是廣泛功能性或組織性的群組，可以指定單組權限。
定義角色，若子組織中的使用者可能需要具備此角色。所有使用者屬於組織或子組織。如果沒有指定給它們任何角色，它們會繼承其所存在組織的權限。所以，如果您要使用者具備其所存在組織與任何父系組織的屬性，必須使用角色機制並將多重角色指定給它們。
對於每個角色，定義 RoleAdministratorRole 以管理角色。然後適當設定 ACI (管理權限：新增或刪除使用者、修改角色屬性等。)
定義將存取您企業的使用者。如果使用者繼承其組織的權限，請將它們置於適當的組織。如果使用者透過角色指定接收他們的權限，他們必須被置於該角色的範圍內，也就是定義該角色的組織或子組織之內。

圖 2-1 說明階層式目錄結構。在本圖中，頂層組織是 Sesta.com。在頂層之下直接是 SestaAdminRole 負責管理組織與 Corporate 及 Partners 子組織。Corporate 組織有三個子組織：Finance、Operations 與 Sales。因為在 Sales 組織中有多個使用者類型，所以定義兩個角色：SalesRole1 與 SalesRole 2。在 Partners 組織中有三個子組織：Partner1、Partner2 與 Partner3。這些組織每個都需要自己的管理員，所以定義三個個別與適當組織相關的角色。事業夥伴角色為 PartnerAdmin1、PartnerAdmin2 與 PartnerAdmin3。

圖 2-1 階層式目錄結構

分析藍本 2：平面式樹結構

如果您的組織經常變更，較淺或完全平均深淺的樹結構可能較適當。如果您的企業經常進行變更，具有一個組織、一個「人物」容器以及所有角色在相同層級的結構很有用。只有一個組織的情形，企業的變更不會影響您的 DIT。所有存取權限會使用角色來定義，且既然所有角色都在單一「人物」容器中而且所有角色都在相同的層級，任何使用者都可以被指定任何角色。

圖 2-2 說明淺目錄結構。在本圖中，頂層且唯一組織是 Sesta.com。所有實體直接定義在此頂層組織之下。其中包括 SestaAdminRole 用於管理組織、四個角色用於各種公司所需的功能 － Finance、Operations、Sales1 與 Sales2 的使用者，以及事業夥伴所需的六個使用者功能角色：Partner1Role、Partner2Role、Partner3Role、Partner1AdminRole、Partner2AdminRole 與 Partner3AdminRole。

圖 2-2 淺目錄結構

建立新組織與子組織

組織與子組織讓您為管理與存取控制的目的架構並群組使用者。一旦您決定了企業的階層或架構，必須建立必要的組織與子組織來實施。依預設，當您建立新的組織或子組織時，其中尚未定義服務、策略、使用者或角色。所以每當您建立新的組織或子組織時，必須執行下列高層級步驟來配置：

註冊您要組織可用的所有服務。如需詳細資料，請參閱若要註冊服務。一般而言，您最少要註冊下列服務：
認證。核心認證服務與組織中使用者會用於認證 (LDAP，匿名) 的任何認證服務。如需更多資訊，請參閱配置認證。
URL 策略代理程式。
使用者。
Portal Server 配置。您要為組織中使用者啟用的任何 Portal Server 服務 (入口網站桌面與 NetMail)。
為每個註冊的服務建立範本。如需更多資訊，請參閱若要建立服務的範本。
建立對組織內使用者授與存取權限所需的策略。如需使用策略的更多資訊，請參閱 Sun ONE Portal Server 如何使用策略管理的摘要。
新增使用者至組織。如需詳細資料，請參閱若要加入新使用者。
建立與指定您在組織中需要的任何角色。如需詳細資訊，請參閱若要建立新角色 與若要指定角色至使用者。
配置為您組織啟用的服務。若要配置桌面的資訊，請參閱第 4 章的「管理 Portal Desktop 服務」。若要配置 NetMail，請參閱第 6 章的「管理 NetMail 服務」。

為了建立新組織並配置它以使用入口網站的快速啟動程序，請參閱建立新的入口網站組織快速啟動。

若要建立新的組織或子組織

對於如何計劃將您的組織及子組織與 Sun ONE Portal Server 一起使用的建議，請參閱計劃組織、子組織與角色。

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，已選取位置窗格中的「識別管理」且「所有已建立的組織」已顯示於導覽窗格中。

如果您在建立子組織，使用導覽窗格選取要建立子組織的組織。
按一下導覽窗格中的「新增」。

「新組織」的頁面顯示在資料窗格中。

在「新組織」頁面中輸入組織或子組織名稱的值。
選擇 Active 或 Inactive 狀態。

預設是 Active。可以選取屬性箭頭隨時在組織或子組織的生命期間進行變更。選擇 inactive 停用登入組織或子組織。

按一下「建立」。

新的組織或子組織會顯示在導覽窗格。

從「檢視」功能表中選擇「服務」。
按一下「註冊」。
啟用新組織的桌面服務。
選取位置窗格中的「識別管理」。
選取「檢視」功能表中的「組織」。
選取新建立的組織。
從「檢視」功能表中選取「服務」。
選取「入口網站桌面」。
在「預設的通道名稱」中將值從 DummyChannel 變更為 JSPTabContainer (或新組織將使用的頂層容器名稱)。
在「Portal Desktop 類型」中將值從預設變更為 sampleportal (或新組織將使用的桌面類型)。

若要註冊服務

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至您要註冊服務的組織或子組織。

使用導覽窗格中的「檢視」功能表。

從「檢視」功能表中選擇「服務」。
按一下「註冊」。
從資料窗格選取要註冊的服務，並按一下「儲存」。

若要建立服務的範本

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至已註冊服務存在的組織或子組織。

使用導覽窗格中的「檢視」功能表

從「檢視」功能表中選擇「服務」。
按一下已註冊服務旁的屬性箭頭。
接受或修改該服務的預設屬性值，並按一下「儲存」。

如需設定 Sun ONE Identity Server 特定服務屬性的資訊，請參閱 Sun ONE Identity Server 管理員指南。如需設定 Sun ONE Portal Server 特定服務屬性的資訊，請參閱此指南中適當的附錄。

若要加入新使用者

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至要建立使用者的組織或子組織。
從「檢視」功能表選擇使用者，並按一下「新增」。

「新使用者」頁面會出現在資料窗格中。

備註	如果您沒有看見使用者反而看見下拉式功能表的「人物容器」，請確定您已為組織或頂層某點設定了「顯示人物容器」屬性。這是在「管理」之下 Sun ONE Identity Server 服務中設定。 使用者確實會一直進入「人物容器」，但除非已選取「顯示人物容器」屬性，您只能在組織下看見它們並與它們互動。依預設是沒有設定「顯示人物容器」。

選取要指定給使用者的服務，並按一下「下一步」。
選取導覽窗格中的使用者並按一下「屬性」箭頭。
從「檢視」功能表中選取「服務」。
按一下「新增」以選擇要指定給使用者的服務。
按一下「儲存」。

一般而言，您至少要為大多數使用者註冊「入口網站桌面」、「認證配置」與「訂閱」服務。

輸入使用者資訊並按一下「建立」。

新的使用者會出現在導覽窗格中。

若要新增服務至使用者

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至要建立使用者的組織或子組織。
從「檢視」功能表中選擇「使用者」。
選取導覽窗格中的使用者並按一下「屬性」箭頭。
從「檢視」功能表中選取「服務」。
按一下「新增」以選擇要指定給使用者的服務。
檢查服務並按一下「儲存」，

一般而言，您至少要為大多數使用者註冊「入口網站桌面」與「訂閱」服務。

若要建立新角色

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至要建立角色的組織或子組織。
從「檢視」功能表選擇角色，並按一下「新增」。

「新角色」的頁面出現在資料窗格中。

輸入角色資訊 (名稱、描述、角色類型、存取權限)，並按一下「建立」。

新的角色會出現在導覽窗格中。

備註	如果您在為授權的管理建立自訂角色，您必須之前已定義該角色的 ACI 權限。如需詳細資料，請參閱第 3 章的「配置授權管理」。

若要指定角色至使用者

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至要建立角色的組織或子組織。
從「檢視」功能表中選擇「使用者」。
按一下要被指定角色的使用者旁的屬性箭頭。

使用者的設定檔資訊會出現在資料窗格中。

按一下資料窗格中「檢視」功能表的「角色」。

「新增角色」的頁面隨即顯示。

核取角色旁的方塊以指定，並按一下「儲存」。

此使用者的角色方塊會隨指定的角色而更新。

按一下「儲存」以儲存變更。

啟用現有使用者以存取 Sun ONE Portal Server

當您在 Sun ONE Identity Server 的現有實例上安裝 Sun ONE Portal Server 時，使用者並未註冊使用 Sun ONE Portal Server 桌面。為了使用者能存取桌面，您必須啟用它們。使用下列程序來啟用預設組織或其他組織中的使用者。

若要啟用預設組織中的使用者

在開始之前，您必須取得某些配置資訊。如果您不知道配置的所有詳細資訊，可以使用 /var/sadm/pkg/SUNWps/pkginfo 檔案的程序檔擷取資訊。

從 /var/sadm/pkg/SUNWps/pkginfo 檔案決定或擷取資訊：
目錄管理員的區別名稱 (稱為 DS_DIRMGR_DN/)。預設值是 cn=Directory Manager。
目錄管理員密碼 (稱為 DS_DIRMGR_PASSWORD/)。
目錄伺服器的完全合格網域名稱 (稱為 DS_HOST/)。
目錄伺服器執行的連接埠 (稱為 DS_PORT/)。預設值是 389。
目錄樹的根字尾 (稱為 DS_ROOT_SUFFIX/)。預設值是 dc=orgname,dc=com (such as dc=sun,dc=com)。
Sun ONE Portal Server 安裝的預設組織 (稱為 DS_DEFAULT_ORG/)。預設值是 o=domain-name。
Sun ONE Portal Server 安裝的基本目錄 (稱為 /BaseDir/)。預設值是 /opt。

如果您不知道配置資訊，請執行下列程序檔並參考輸出以取得您需要完成此程序的資訊。

############################################## # Get configuration from file ############################################### GrabConfig() { GRABCONFIG_KEY=$1 GRABCONFIG_FILE=$2 GRABCONFIG_SEPARATOR=$3 ANSWER_CONFIG=‘$GREP "^$GRABCONFIG_KEY$GRABCONFIG_SEPARATOR" $GRABCONFIG_FILE | $UNIQ | $SED -e "s/$GRABCONFIG_KEY$GRABCONFIG_SEPARATOR//" | $SED -e "s/^ //"‘ } ############################################### # Get PS6 Settings ############################################### GetPS6Settings() { if [ -f $PKGINFO ]; then # Ldap Settings # GrabConfig "DS_HOST" $PKGINFO "=" DS_HOST=$ANSWER_CONFIG echo "DS_HOST=$DS_HOST" GrabConfig "DS_PORT" $PKGINFO "=" DS_PORT=$ANSWER_CONFIG echo "DS_PORT=$DS_PORT" GrabConfig "DS_DIRMGR_DN" $PKGINFO "=" DS_DIRMGR_DN=$ANSWER_CONFIG echo "DS_DIRMGR_DN=$DS_DIRMGR_DN" GrabConfig "DS_DIRMGR_PASSWORD" $PKGINFO "=" DS_DIRMGR_PASSWORD=$ANSWER_CONFIG echo "DS_DIRMGR_PASSWORD=$DS_DIRMGR_PASSWORD" ############################################## # Get PS6 Settings ############################################### GetPS6Settings() { if [ -f $PKGINFO ]; then # Ldap Settings # GrabConfig "DS_HOST" $PKGINFO "=" DS_HOST=$ANSWER_CONFIG echo "DS_HOST=$DS_HOST" GrabConfig "DS_PORT" $PKGINFO "=" DS_PORT=$ANSWER_CONFIG echo "DS_PORT=$DS_PORT" GrabConfig "DS_DIRMGR_DN" $PKGINFO "=" DS_DIRMGR_DN=$ANSWER_CONFIG echo "DS_DIRMGR_DN=$DS_DIRMGR_DN" GrabConfig "DS_DIRMGR_PASSWORD" $PKGINFO "=" DS_DIRMGR_PASSWORD=$ANSWER_CONFIG echo "DS_DIRMGR_PASSWORD=$DS_DIRMGR_PASSWORD" # Dsame Settings # GrabConfig "IDSAME_BASEDIR" $PKGINFO "=" IDSAME_BASEDIR=$ANSWER_CONFIG echo "IDSAME_BASEDIR=$IDSAME_BASEDIR" AMCONFIG="${IDSAME_BASEDIR}/SUNWam/lib/AMConfig.properties" if [ -f $AMCONFIG ]; then DS_ROOT_SUFFIX=‘$GREP "^com.iplanet.am.rootsuffix=" $AMCONFIG | $SED -e "s/com.iplanet.am.rootsuffix=//"‘ echo "DS_ROOT_SUFFIX=$DS_ROOT_SUFFIX" DS_DEFAULT_ORG=‘$GREP "^com.iplanet.am.defaultOrg=" $AMCONFIG | \ $SED -e "s/com.iplanet.am.defaultOrg=//"‘ echo "DS_DEFAULT_ORG=$DS_DEFAULT_ORG" else print "‘$GETTEXT ’Error - Cannot find DSAME configuration file, please verify PS6 installation.’‘" exit 1 fi else print "‘$GETTEXT ’Error - Cannot find SUNWps package information files, please verify PS6 installation.’‘" exit 1 fi

變更目錄為 Sun ONE Identity Server 公用程式目錄。例如，如果基本目錄是 /opt，請輸入：

cd /IDSAME_BaseDir/SUNWam/bin

如果目錄伺服器與預設組織的根字尾不相同，請執行下列指令：

./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "ou=People,/DS_DEFAULT_ORG/,/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1

如果目錄伺服器與預設組織的根字尾相同，請執行下列指令：

./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "ou=People,/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1

執行下列指令

grep "^dn" /tmp/.tmp_ldif_file1 | awk ’{
print $0
print "changetype: modify"
print "add: objectclass"
print "objectclass: sunPortalDesktopPerson"
print "objectclass: sunPortalNetmailPerson\n" }’ >
/tmp/.tmp_ldif_file2

執行下列指令。

./ldapmodify -c -h DS_HOST -p DS_PORT \ -D DS_DIRMGR_DN -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2

移除所有暫存檔。

rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2

若要啟用非預設組織中的使用者

從 /var/sadm/pkg/SUNWps/pkginfo 檔案決定或擷取資訊：
目錄管理員的區別名稱 (稱為 DS_DIRMGR_DN/)。預設值是 cn=Directory Manager。
目錄管理員密碼 (稱為 DS_DIRMGR_PASSWORD/)。
目錄伺服器的完全合格網域名稱 (稱為 DS_HOST/)。
目錄伺服器執行的連接埠 (稱為 DS_PORT/)。預設值是 389。
目錄樹的根字尾 (稱為 DS_ROOT_SUFFIX/)。預設值是 dc=orgname,dc=com (such as dc=sun,dc=com)。
您想要更新使用者的 Sun ONE Portal Server 安裝的組織 (稱為 DS_ORG_TO_UPDATE/)。預設值是 "。
Sun ONE Portal Server 安裝的基本目錄 (稱為 /BaseDir/)。預設值是 /opt。
為包含您要啟用的現有使用者的組織或子組織註冊服務。如需程序上的資訊，請參閱若要註冊服務。
為您註冊的每個服務建立範本。如需程序上的資訊，請參閱若要建立服務的範本。
建立與指定每個服務的策略。如需詳細資訊，請參閱若要為同等組織或子組織註冊策略服務、若要為同等組織或子組織建立參照策略與若要為同等組織或子組織建立一般策略。
設定 URL 為重新導向組織中成功認證的使用者。請參閱若要成功的重新導向登入使用者至入口網站桌面 URL。
變更目錄為 Sun ONE Identity Server 公用程式目錄。例如，如果基本目錄是 /opt，請輸入

cd /IDSAME_BaseDir/SUNWam/bin

啟用組織內的使用者，請執行下列操作之一：
若只要啟用定義為 DS_ORG_TO_UPDATE/ 特定組織內的使用者，則使用下列指令：

./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "ou=People,/DS_ORG_TO_UPDATE/,/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1

若要啟用所有組織中的使用者，則使用下列指令：

./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ \ -b "/DS_ROOT_SUFFIX/" "(uid=*)" dn | \ /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1

執行下列指令：

grep "^dn" /tmp/.tmp_ldif_file1 | awk ’{
print $0
print "changetype: modify"
print "add: objectclass"
print "objectclass: sunPortalDesktopPerson"
print "objectclass: sunPortalNetmailPerson\n" }’ > /tmp/.tmp_ldif_file2

執行下列指令：

./ldapmodify -c -h DS_HOST -p DS_PORT \ -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2

移除所有暫存檔。

rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2

變更目錄為 Portal Server 公用程式目錄。

cd /IDSAME_BASEDIR/SUNWps/bin

執行下列以載入您非預設組織的顯示設定檔。

./dpadmin modify -u "uid=amadmin,ou=people,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" -w DS_DIRMGR_PASSWORD -d "NON_DEFAULT_ORG,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" \ IDSAME_BASEDIR/SUNWps/samples/desktop/dp-org.xml

若要啟用其他組織的使用者，請重複步驟 7 到步驟 13。

建立新的入口網站組織快速啟動

下列工作描述建立新組織並啟用它供入口網站使用。依預設，當您登入時，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

建立新組織。
選取「檢視」功能表中的「組織」。
按一下「新增」。

「建立組織」的頁面會在資料窗格中開啟。

輸入新組織的名稱。「組織狀態」應該是「作用中」。按一下「建立」。

新建立的組織會出現在導覽頁面中。

註冊新組織的服務。
在導覽窗格中從「檢視」功能表選取「組織」，並且從「名稱」功能表選取新建立的組織。
從「檢視」功能表中選取「服務」。
按一下「註冊」。

「註冊服務」的頁面出現在資料窗格中。按一下下列最少服務的核取方塊，然後按一下「註冊」。

LDAP
成員
策略配置
入口網站桌面
訂閱

新註冊的服務會出現在導覽窗格中。

按一下屬性箭頭配置每個服務。按一下「建立」以修改配置屬性。如需 Portal Server 配置非特定的屬性描述，請參閱 Sun ONE Identity Server 管理員指南。

備註	子組織必須獨立於父系組織註冊其服務。

如有必要，建立註冊服務的範本。
在導覽窗格「檢視」功能表中選取「服務」。
一個接一個按下服務旁的屬性箭頭圖示並建立範本。
建立新組織的桌面參照策略。

參照必須定義父系組織為規則中的資源，且必須包含 SubOrgReferral 與作為參照中值的子組織

選取位置窗格中的「識別管理」。
從「檢視」功能表中選取「策略」。
按一下「新增」以建立新策略。

「建立策略」的頁面出現在資料窗格中。

對於名稱，請鍵入 SubOrgReferral_Desktop。然後按一下「建立」。
選取「服務」中的「入口網站桌面」，然後按一下「下一步」。
在資料窗格中從「檢視」功能表按一下「規則」，並按一下「新增」。確定已選取「入口網站桌面」然後按一下「建立」。
在資料窗格中從「檢視」功能表按一下「參照」，並按一下「新增」。確定已為資料窗格中的「值」選取子組織的名稱，並按一下「建立」以完成策略的配置。
為新組織建立一般「入口網站桌面」策略。
從「檢視」功能表中選擇「策略」。

該組織的策略會顯示。

在導覽窗格中選取「新增」。「新策略」的頁面會在資料窗格中開啟。
確定您在「策略類型」中選取「一般」。
在資料窗格中從「檢視」功能表選擇「規則」，並按一下「新增」。「新增規則」的頁面會在資料窗格中開啟。
從「服務」功能表選取「入口網站桌面」，並按一下「下一步」。確定已核取「具有執行桌面的權限」。
在資料窗格中從「檢視」功能表選擇「主旨」，並按一下「新增」。「新增主旨」的頁面會在資料窗格中開啟。

如果「策略配置服務」的服務範本中沒有配置「LDAP 連結密碼」，請在警告訊息「沒有符合的項目。請重新修改您的搜尋」中按一下「新增主旨」的頁面結果。

選取「入口網站桌面」策略會套用的主旨，並選擇「下一步」以完成主旨配置。
按一下「建立」以完成策略的配置。
為新組織建立「訂閱」參照策略。

參照必須定義父系組織為規則中的資源，且必須包含 SubOrgReferral 與作為參照中值的子組織

選取位置窗格中的「識別管理」。
從「檢視」功能表中選取「策略」。
按一下「新增」以建立新策略。

「建立策略」的頁面出現在資料窗格中。

對於名稱，請鍵入 SubOrgReferral_Subscriptions。然後按一下「建立」。
選取「服務」中的「訂閱」，然後按一下「下一步」。
在資料窗格中從「檢視」功能表按一下「規則」，並按一下「新增」。確定已選取「訂閱」然後按一下「建立」。
在資料窗格中從「檢視」功能表按一下「參照」，並按一下「新增」。確定已為資料窗格中的「值」選取子組織的名稱，並按一下「建立」以完成策略的配置。
為新組織建立一般「訂閱」策略。
從「檢視」功能表中選擇「策略」。

該組織的策略會顯示。

在導覽窗格中選取「新增」。「新策略」的頁面會在資料窗格中開啟。
確定您在「策略類型」中選取「一般」。
在資料窗格中從「檢視」功能表選擇「規則」，並按一下「新增」。「新增規則」的頁面會在資料窗格中開啟。
從「服務」功能表選取「訂閱」，並按一下「下一步」。確定已核取「具有執行桌面的權限」。
在資料窗格中從「檢視」功能表選擇「主旨」，並按一下「新增」。「新增主旨」的頁面會在資料窗格中開啟。
選取「訂閱」策略會套用的主旨，並選擇「下一步」以完成主旨配置。
按一下「建立」以完成策略的配置。
在新組織中建立新使用者。
選取位置窗格中的「識別管理」。
選取「檢視」功能表中的「組織」。
選取新建立的組織。
選取導覽窗格中的使用者並按一下「屬性」箭頭。
從「檢視」功能表中選取「服務」。
按一下「新增」以選擇要指定給使用者的服務。
按一下「儲存」。
啟用新組織的桌面服務。
選取位置窗格中的「識別管理」。
選取「檢視」功能表中的「組織」。
選取新建立的組織。
從「檢視」功能表中選取「服務」。
選取「入口網站桌面」
在「預設通道名稱」中將值從 DummyChannel 變更為 JSPTabContainer (或新組織將使用的頂層容器名稱)。
在「入口網站桌面類型」中將值從預設變更為 sampleportal (或新組織將使用的桌面類型)。
存取新組織的桌面。
登出管理主控台。
開啟瀏覽器頁面並鍵入：

http://server:port/amserver/UI/login?org=neworg

使用者的桌面應該會出現。

---

配置認證

本節描述如何配置 Sun ONE Portal Server 認證。Sun ONE Identity Server 提供認證的架構。認證是透過驗證使用者身份的 Plug-in 模組來實施。Sun ONE Identity Server 提供七種不同的認證模組以及核心認證模組。Sun ONE Identity Server 管理主控台用於設定預設值、註冊認證服務、建立組織的認證範本，與啟用服務。因為核心認證模組提供全面的認證配置，在您可配置任何特定的認證模組之前，必須先註冊核心認證模組並為每個組織建立其範本。

備註	Sun ONE Identity Server 5.1 管理主控台提供的認證功能表配置功能在 Sun ONE Identity Server 6.0 版本中不支援。如果您必須配置有效認證模組的可選清單，請使用 Sun ONE Identity Server 管理主控台設定每個認證模組值，與認證層級屬性值相同。如需配置認證模組的資訊，請參閱若要配置認證功能表。

安裝時，在預設的組織中已註冊核心認證並建立其範本。此外，安裝也註冊並建立下列認證模組的範本：

LDAP - LDAP 認證讓目錄樹的搜尋基礎中任何有效的使用者能登入 Sun ONE Portal Server。這會自動指定使用者特定的角色。
成員 - 成員認證讓使用者在沒有管理員的協助下建立帳戶並將其個人化。具備此新帳戶，使用者能以已註冊的使用者身份來存取。

備註	雖然安裝配置了包含核心、LDAP 與成員模組的基本認證實施，如果您建立新組織或要設定其他認證功能，如認證外部的 LDAP 目錄或識別提供者，則必須手動配置認證。

配置認證模組的高層級步驟如下：

為每個新組織註冊核心認證服務。如需註冊服務的步驟，請參閱若要註冊服務。
建立核心認證服務的範本。如需建立服務範本的步驟，請參閱若要建立服務的範本。
註冊認證服務以支援每個組織。如需註冊服務的步驟，請參閱若要註冊服務。
建立認證服務的服務範本以支援組織。如需建立認證服務範本的步驟，請參閱若要建立服務的範本。如需設定服務屬性的資訊，請參閱 Sun ONE Identity Server 管理員指南，第 5 章的「認證選項」。
配置認證功能表。如需配置認證順序的步驟，請參閱若要配置認證功能表。
配置順序以使用認證服務。如需配置認證順序的步驟，請參閱若要配置認證順序。

依認證層級的認證

每個認證模組都能與其認證層級的整數值相關。按一下「服務配置」中認證模組的「屬性」箭頭可以指定認證層級，而且變更模組「認證層級」屬性的對應值。一旦使用者已認證一或多個認證模組，越高的認證層級定義越高的使用者信任層級。

若要配置認證功能表

使用者可以用特定的認證層級存取認證模組。例如，使用者可以用具有下列語法的使用者身份執行登入：

http://hostname:port/deploy_uri/UI/Login?authlevel=auth_level_value

認證層級大於或等於 auth_level_value 的所有模組將會顯示為認證功能表讓使用者選擇。如果只找到一個符合的模組，該認證模組的登入頁面會直接顯示。

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，當您登入時，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至您要配置認證的組織或子組織。

使用導覽窗格中的「檢視」功能表

從「檢視」功能表選擇「服務」，並按一下「註冊」。
按一下「核心」旁的屬性箭頭。
在「組織」區段的「組織認證模組」欄位中選取適當的認證模組以啟用。

依預設，Sun ONE Portal Server 安裝會啟用 LDAP 與成員。

為每個認證模組在「預設認證層級」中輸入值 (預設是 0)。

為了在認證功能表中出現，每個認證模組的值必須相同。

按一下「儲存」。

若要配置認證順序

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，當您登入時，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至您要配置認證的組織或子組織。

使用導覽窗格中的「檢視」功能表

從「檢視」功能表選擇「服務」，並按一下「註冊」。
按一下「核心」旁的屬性箭頭。
在「組織」區段的「組織認證模組」欄位中選取適當的認證模組以啟用。

依預設，Sun ONE Portal Server 安裝會啟用 LDAP 與成員。

為每個認證模組在「預設認證層級」中輸入值 (預設是 0)。

為了在認證功能表中出現，每個認證模組的值必須相同。

在「組織認證配置」中選取「編輯」以指定每個認證模組的屬性資訊。
按一下「新增」將認證模組新增至功能表。
按一下「重新排序」以變更認證模組將出現在認證模組的順序。
按一下「儲存」以儲存屬性資訊。
按一下「儲存」
使用下列 URL 藉由登入管理伺服器驗證認證功能表會出現適當的選擇。

http://host:port/amserver/UI/login

如果這不是預設的組織，請使用下列 URL 驗證組織的認證功能表：

http://host:port/amserver/UI/login?org=org_name

若要配置 LDAP 認證至外部目錄

當您安裝 Sun ONE Portal Server 時，安裝程式會自動配置 LDAP 認證至目錄實例。安裝程式讓您在本機伺服器上安裝目錄的內部實例，並配置 LDAP 認證至該內部目錄或配置 LDAP 認證至預先存在的目錄外部實例。您一旦有初始配置，就會有您想要配置認證至外部 LDAP 目錄的某些分析藍本。例如，為了效能或安全性的原因，您可能想隔離特定組織的認證資訊到專屬 LDAP 伺服器上。

注意	請勿配置認證到包含 amadmin 使用者之組織的外部 LDAP 目錄。這能防止 amadmin 使用者認證並將您鎖定於管理主控台之外。如果您不慎配置了包含 amadmin 使用者的組織，則必須使用 amadmin 的完整 DN 登入，然後修正 LDAP 範本。amadmin DN 列於 AMConfig.properties 檔案中的 com.sun.authentication.super.user 屬性。

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至您要配置認證的組織或子組織。

使用導覽窗格中的「檢視」功能表。

從「檢視」功能表中選擇「服務」。
從「識別服務配置」中按一下「核心」旁的屬性箭頭。
從「動態使用者設定檔」功能表核取「動態建立」。
從「識別服務配置」中按一下 LDAP 旁的屬性箭頭。
為您的伺服器設定適當的 LDAP 屬性。下列範例設定對連接埠 389 上 LDAP 伺服器 ds-sesta1.sesta.com 的存取與 ou=people,dc=sesta,dc=com 的搜尋起點，並使用 root 使用者連結 cn=root,ou=people,dc=sesta,dc=com：

主要 LDAP 伺服器與連接埠：ds-sesta1.sesta.com:389
次要 LDAP 伺服器與連接埠：ds-sesta1.sesta.com:389
啟動使用者搜尋的 DN：ou=people,dc=sesta,dc=com
Root 使用者連結的 DN：cn=root,ou=people,dc=sesta,dc=com
Root 使用者連結的密碼：root password
使用者命名屬性：uid
使用者項目搜尋屬性：employeenumber
使用者搜尋過濾器：空白
搜尋範圍：subtree
啟用 LDAP 伺服器的 SSL：off
傳回使用者 DN 至認證：off
認證層級： 0

按一下「儲存」。

配置匿名認證

Sun ONE Portal Server 支援兩種實施匿名認證的方法：

使用「非驗證式」使用者 ID 屬性。會自動認證存取桌面 URL 的使用者並授與對桌面的存取。
使用匿名使用者階段作業。使用者從「認證」功能表中選取「匿名」，以 anonymous 登入，並授與對桌面的存取。

為了支援匿名認證，Sun ONE Portal Server 安裝程式建立了 authlessanonymous 使用者帳戶，並在下列兩種「入口網站桌面」服務全域屬性中設定此使用者的存取：

授權的「非驗證式」使用者 ID
預設的「非驗證式」使用者 ID

Sun ONE Portal Server 能支援用下列方式同時配置「非驗證式」與匿名認證：

配置桌面在「非驗證式」模式中作業。
配置認證功能表讓「匿名」成為顯示的選擇之一。
用瀏覽器 A 存取桌面，以便在「非驗證式」模式中存取。
用瀏覽器 B 存取 http:/server/amserver/UI/login，並選取「匿名」然後查看桌面。

此時您在瀏覽器 A 中使用「非驗證式」模式而在瀏覽器 B 中使用匿名模式。

存取桌面出現兩種不同方式。一種「非驗證式」存取是透過直接參照至 /portal/dt，另一種 (匿名) 則是間接透過 /amserver/UI/login。

配置 Sun ONE Identity Server 在功能表中只有匿名登入，可以避免「Sun ONE Identity Server 登入」功能表。

因為當您存取 /portal/dt 而沒有 Sun ONE Identity Server 階段作業時，不能同時支援「非驗證式」存取與匿名認證，兩種情形只會發生其一：

桌面會重新導向 /amserver/UI/login，而這個會自動執行匿名登入並將您重新導回 /portal/dt。
桌面會在「非驗證式」存取模式中執行。

您不需要停用匿名認證以使用「非驗證式」存取。但如果您要以上項目之一作業，則必須停用「非驗證式」存取模式。

若要配置匿名認證 (匿名使用者階段作業方法)

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至您要配置認證的組織或子組織。

所有已建立的組織會顯示在導覽窗格中。

選取位置窗格中的「服務配置」。
按一下「入口網站桌面」服務旁的屬性箭頭。

「入口網站桌面」屬性隨即顯示在資料窗格中。

選取列於「授權的無認證使用者 ID」屬性的值並按一下「移除」。
選取列於「預設的無認證使用者 ID」屬性的值並按一下「移除」。
按一下「儲存」。
選擇位置窗格中的「識別管理」。
從「檢視」功能表中選擇「組織」。

所有已建立的組織會顯示在導覽窗格中。

導覽至您要配置認證的組織或子組織。

使用位置窗格中的「檢視」功能表。

從「顯示」功能表中選擇「服務」。
註冊並配置「匿名」服務。

如需詳細資訊，請參閱若要註冊服務與若要建立服務的範本。

將「匿名」新增至「認證」功能表。

如需詳細資料，請參閱若要配置認證順序。

建立 anonymous 使用者帳戶。

如需詳細資料，請參閱若要加入新使用者。

若要配置匿名認證 (非驗證式存取)

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

依預設，當您登入時，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

所有已建立的組織會顯示在導覽窗格中。

導覽至您要配置認證的組織或子組織。

使用導覽窗格中的「檢視」功能表。

使用密碼 authlessanonymous 建立 authlessanonymous 使用者帳戶。

如需詳細資料，請參閱若要加入新使用者。

選取位置窗格中的「服務配置」。
在導覽窗格中選取「入口網站桌面」。
將 authlessanonymous 使用者的完全區別名稱新增至「授權的無認證使用者 ID」屬性。例如：

uid=authlessanonymous, ou=People, dc=sesta, dc=com

在「預設的無認證使用者 ID」屬性中指定 authlessanonymous 使用者的完全區別名稱。
按一下「儲存」。

您必須關閉與重新啟動您的瀏覽器，以使用新配置的「非驗證式使用者 ID」方法存取桌面。「非驗證式使用者 ID」方法讓您指定查詢字串中使用者帳戶的 UID。例如，若要從 sestat.com 預設組織中存取桌面，請使用下列 URL：

http://server:port/portal/dt?dt.suid=uid= authlessanonymous, ou=People,dc=sesta, dc=com

備註	如果使用者登入瀏覽器而不是使用者自己的語言環境，所有其他使用者會共用登入提示時相同的語言環境。 有多種選項可避免這個問題。 在 dp-anon.xml 中將 refreshTime 的值變更為 JSPTabContainer 的 0 以關閉快取。 您可以指定多個非驗證式使用者，每個語言環境一個非驗證式使用者，並將非驗證式桌面根據瀏覽器的語言環境重新導向正確的使用者。

為聯合使用者配置 Portal Server

Sun ONE Portal Server 軟體支援具有符合 Liberty Alliance 技術規定的聯合身份使用者。Liberty 單次登入的聯合使用者可以存取 Portal Server 的個人化桌面而不需要進一步認證。

如需更多 Liberty 啟用認證服務的資訊，請參閱 Sun ONE Identity Server 管理員指南。可以在下列位置找到使用 Sun ONE Portal Server 作為服務提供者的範例配置：

PortalServerBaseDir/SUNWps/samples/liberty

若要配置聯合使用者

依預設，聯合使用者沒有權限存取作為服務提供者的 Sun ONE Portal Server。Sun ONE Portal Server 可以處理聯合使用者，如下所示：

Liberty 單次登入的聯合使用者可以存取個人化的入口網站桌面。
不是 Liberty 單次登入的聯合使用者會被重新導向識別提供者的認證頁面。
以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

選取位置窗格中的「服務配置」。
在導覽窗格中選取「入口網站桌面」。
核取「啟用聯合」。
指定主機提供者的 ID。
按一下「儲存」。

若要為聯合使用者配置非驗證式存取

依預設，聯合使用者沒有權限存取非驗證式入口網站桌面。

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至您要配置認證的組織或子組織。

使用導覽窗格中的「檢視」功能表。

選取位置窗格中的「服務配置」。
在導覽窗格中選取「入口網站桌面」。
取消核取「停用聯合使用者的非驗證式存取」。
按一下「儲存」。

如需非驗證式存取的更多資訊，請參閱若要配置匿名認證 (非驗證式存取)。

若要配置 UNIX 認證

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

在「識別管理」中從「檢視」功能表選擇「組織」。

所有已建立的組織會顯示在導覽窗格中。

選取位置窗格中的「服務配置」。
在導覽窗格中按一下 UNIX 旁的屬性箭頭 (在「識別伺服器配置」之下)。
為您的伺服器設定適當的 UNIX 屬性。
按一下「儲存」。
導覽至您要配置認證的組織或子組織。

使用導覽窗格中的「檢視」功能表。

從「檢視」功能表中選擇「服務」。
按一下導覽窗格中的「註冊」。
在資料窗格中按一下「認證」之下的「核心」。
在資料窗格中從「組織認證模組」功能表中選取「Unix」。
按一下「儲存」。

若要配置組織層級的 UNIX 認證

若要配置 UNIX 認證中文件說明的 UNIX 認證是為全面配置 UNIX。此程序用於在組織層級配置。

在您的瀏覽器網路位址欄位輸入 http://fullservername:port/amconsole 以管理員身份 (amadmin) 登入 Sun ONE Identity Server 管理主控台。
在登入畫面輸入 amadmin 為使用者 ID 以及您在安裝時選擇的 passphrase。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

在「識別管理」中從「檢視」功能表選擇「組織」。

所有已建立的組織會顯示在導覽窗格中。

從「檢視」功能表中選擇「服務」。
選取「註冊」。
在右窗格核取「UNIX」並按一下「註冊」。
選取 UNIX 旁的屬性箭頭。
在右窗格中選取「建立」。
為您的伺服器設定適當的 UNIX 屬性。
選取「儲存」。
選取「核心」旁的屬性箭頭。
反白顯示「認證」功能表的「UNIX」並選取「儲存」。

---

Sun ONE Portal Server 如何使用策略管理的摘要

本節描述如何使用 Sun ONE Identity Server 的策略管理功能。如需建立、修改與刪除策略的程序，請參閱 Sun ONE Identity Server 文件。

Sun ONE Identity Server 策略服務能讓您定義規則或存取資源。政策能以角色或組織為基礎，而且能提供權限或定義限制。Sun ONE Portal Server 隨附兩種策略：

執行 Portal Server 入口網站桌面的能力 - 讓使用者顯示桌面
執行 Portal Server NetMail 的能力 - 讓使用者執行 NetMail

備註	第 4 章的「管理 Portal Desktop 服務」與第 6 章的「管理 NetMail 服務」提供指定其特定策略的詳細描述。

依預設，「策略配置」服務會自動註冊於頂層組織。子組織必須獨立於其父系組織註冊其策略服務。您建立的任何策略服務必須註冊於所有組織。使用策略的高層級步驟為：

為組織註冊「策略」服務。(此步驟會自動為安裝時指定的組織完成。)子組織不會繼承其父系的服務，所以您必須註冊子組織的「策略」服務。如需詳細資料，請參閱若要註冊服務。
為同等組織或子組織建立參照策略。您可以授權組織的策略定義與決定給其他組織。(也就是資源的策略決定可以授權給其他策略產品。)參照策略控制策略建立與評估兩者的策略授權。它是由規則與參照本身組成。如果策略服務包含不需要資源的動作，則無法為子組織建立參照策略。如需詳細資料，請參閱若要為同等組織或子組織建立參照策略。
為同等組織或子組織建立一般策略。您建立一般策略來定義存取權限。一般策略可由多個規則、物件與條件所組成。如需詳細資料，請參閱若要為同等組織或子組織建立一般策略。

若要為同等組織或子組織註冊策略服務

同等組織或子組織不會繼承其父系的服務，所以您必須註冊同等組織或子組織的「策略」服務。

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至您要建立參照策略的組織或子組織。

所有已建立的組織會顯示在導覽窗格中。

在導覽窗格中從「檢視」功能表選取「組織」，並且從「名稱」功能表選取所需的組織。
從「檢視」功能表中選取「服務」。
按一下「註冊」。

「註冊服務」的頁面出現在資料窗格中。按一下下列最少服務的核取方塊，然後按一下「註冊」。

LDAP
成員
策略配置
入口網站桌面
NetMail

新註冊的服務會出現在導覽窗格中。

按一下屬性箭頭配置每個服務。按一下「建立」以修改配置屬性。如需 Portal Server 配置非特定的屬性描述，請參閱 Sun ONE Identity Server 管理員指南。

若要為同等組織或子組織建立參照策略

您可以授權組織的策略定義與決定給其他組織。參照策略控制策略建立與評估兩者的策略授權。它是由規則與參照本身組成。參照必須定義父系組織為規則中的資源，且必須包含 SubOrgReferral 或 PeerOrgReferral 與作為參照中值的組織名稱。

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至您要建立參照策略的組織或子組織。

所有已建立的組織會顯示在導覽窗格中。

從「檢視」功能表中選取「策略」。
按一下「新增」以建立新策略。

「建立策略」的頁面出現在資料窗格中。

名稱請輸入 SubOrgReferral_organization 或 PeerOrgReferral_organization。確定您在「策略類型」中選取「參照」。然後按一下「建立」。
在「服務」中選取服務類型並按一下「下一步」。
在資料窗格中從「檢視」功能表按一下「規則」並按「新增」，然後按一下「下一步」。

「新增規則」範本會出現在資料窗格中。

在「規則名稱」中輸入規則的名稱，並按一下「建立」。
按一下資料窗格中「檢視」功能表的「參照」，並按一下「新增」。

「新增參照」範本會出現在資料窗格中。

在名稱中輸入 SubOrgReferralName。

確定已為資料窗格中的「值」選取子組織的名稱，並按一下「建立」以完成策略的配置。

在資料窗格中按一下「儲存」。

當資料已儲存，會顯示訊息「策略屬性已儲存」。

若要為同等組織或子組織建立一般策略

您建立一般策略來定義存取權限。一般策略可由多個規則、物件與條件所組成。

以管理員的身份登入 Sun ONE Identity Server 管理主控台。

依預設，位置窗格中的「識別管理」及「導覽」窗格中的「組織」皆已選取。

導覽至您要指定策略的組織或子組織。

所有已建立的組織會顯示在導覽窗格中。

從「檢視」功能表中選擇「策略」。

該組織的策略會顯示。

在導覽窗格中選取「新增」。「新策略」的頁面會在資料窗格中開啟。
名稱請輸入 SubOrgNormal_organization 或 PeerOrgNormal_organization。確定您在「策略類型」中選取「一般」。按一下「建立」。
從「服務」功能表選取服務，並按一下「下一步」。在「規則名稱」中輸入規則的名稱。確定已選取適當的核取方塊以授與執行權限給所需的服務。
在資料窗格中從「檢視」功能表選擇「規則」，並按一下「新增」。「新增規則」的頁面會在資料窗格中開啟。
在資料窗格中從「檢視」功能表選擇「主旨」，並按一下「新增」。「新增主旨」的頁面會在資料窗格中開啟。
按一下「建立」以完成策略的配置。

當資料已儲存，會顯示訊息「策略屬性已儲存」。

---

登入 Sun ONE Portal Server 入口網站桌面

若您已安裝範例入口網站，則使用者將能夠登入範例桌面。此外，Sun ONE Portal Server 支援其他各種使用者登入。本節描述使用者可以登入 Sun ONE Portal Server 的某些其他使用者方式。

若要登入範例入口網站桌面

若要存取範例桌面，請輸入下列 URL：

http://server:port/portal/dt

若要登入子組織

如果使用者有組織的存取權限，他們也能登入該組織內的子組織。例如，如果使用者能存取具有子組織 B 的組織 A，請輸入下列 URL 以登入子組織 B：

http://server:port/amserver/UI/login?org=B

若要使用匿名認證登入

備註	您必須註冊匿名認證模組以支援匿名認證。如需註冊與啟用匿名認證模組的資訊，請參閱配置匿名認證。

使用下列 URL 登入：

http://server:port/portal/dt

在 Sun ONE Identity Server 認證頁面，按一下「匿名」。
範例桌面會出現。
如果需要且如果「成員」認證模組已註冊，請使用「登入」畫面建立並註冊使用者 ID。

---

管理記錄

Sun ONE Portal Server 使用 Sun ONE Identity Server 記錄與 除錯 API。

依預設，Sun ONE Portal Server 日誌與除錯檔案位於：

/var/opt/SUNWam/logs
/var/opt/SUNWam/debug

Sun ONE Identity Server 管理主控台讓您定義下列記錄屬性：

最大日誌大小
歷史檔案數目
日誌位置
記錄類型
資料庫使用者名稱
資料庫使用者密碼
資料庫驅動程式名稱

如需更多資訊，請參閱 Sun ONE Identity Server 管理員指南。

上一頁      目錄      索引      下一頁

---

Copyright 2003 Sun Microsystems, Inc. 保留所有權利。