Sun logo      上一页      目录      索引      下一页     

Sun ONE Portal Server, Secure Remote Access 6.2 管理员指南

第 8 章
配置 URL 访问控制

本章介绍如何用 Sun™ ONE Identity Server 管理控制台中“SRA 配置”下的“访问列表”来允许或拒绝最终用户通过网关访问特定 URL。

注意

单击 Identity Server 管理控制台右上角的“文档”,然后单击“SRA 帮助”以获取所有 Secure Remote Access 属性的快速参考。

要配置 URL 访问控制,请执行以下操作:

  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 在管理控制台中,选择“服务配置”标签。
  3. 在“SRA 配置”下,单击“访问列表”旁边的箭头。

    4. 会显示“访问列表”页面。

从这里,您可以执行下列任务:

设置 URL 拒绝列表

可指定最终用户不能使用此字段通过网关访问的 URL 列表。

网关在检查“URL 允许列表”之前要先检查“URL 拒绝列表”。

  设置 URL 拒绝列表
  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 选择“服务配置”标签。
  3. 在“SRA 配置”下,单击“访问列表”旁边的箭头。

    4. 会显示“访问列表”页面。

  4. 在“URL 拒绝列表”字段中指定希望拒绝通过网关访问的 URL。输入 URL 的格式为:

    5. http://abc.siroe.com

  5. 单击“添加”。

    6. 该 URL 被添加到“URL 拒绝列表”。

    也可使用正则表达式,如 http://*.siroe.com。在这种情况下,用户不能访问 siroe.com 域的所有主机。

  6. 单击“保存”记录更改。

设置 URL 允许列表

可指定最终用户可通过网关访问的所有 URL。默认情况下,此列表有一通配条目 (*),表示可以访问所有 URL。如果要允许访问所有 URL,仅限制访问特定 URL,可将受限 URL 添加到“URL 拒绝列表”中。用同样的方法,如果希望仅允许访问特定 URL,则将“URL 拒绝列表”留为空白,在“URL 允许列表”中指定所需的 URL。

网关在检查“URL 允许列表”之前要先检查“URL 拒绝列表”。

  设置 URL 允许列表
  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 选择“服务配置”标签。
  3. 在“SRA 配置”下,单击“访问列表”旁边的箭头。

    4. 会显示“访问列表”页面。

  4. 在“URL 允许列表”字段中指定希望允许通过网关访问的 URL。输入 URL 的格式为:

    5. http://abc.siroe.com

  5. 单击“添加”。

    6. 该 URL 被添加到“URL 允许列表”。

    注意

    默认情况下,“URL 允许列表”具有一个 *,它表示可通过网关访问所有的 URL。

  6. 单击“保存”记录更改。

管理单点登录

Secure Remote Access 中的“访问列表”服务允许您控制各个主机的单点登录功能。但要使单点登录功能可用,必须在网关服务中启用“启用 HTTP 基本验证”选项。请参阅“启用 HTTP 和 HTTPS 连接”

通过“访问列表”服务,可禁用某些主机的单点登录功能。这意味着最终用户在每次连接到需要 HTTP 基本验证的主机时都需要进行验证,除非为每一会话启用单点登录。

如果已禁用某台主机的单点登录,用户可在单一 Portal Server 会话中重新连接到该主机。例如,假定已禁用至 abc.sesta.com 的单点登录。第一次连接到此站点时,需要对用户进行验证。用户可以浏览其它页面,并稍后返回此页面,而且如果这些页面在同一 Portal Server 会话中,则无需验证。

用户也可使用受限的管理控制台配置这些属性。

  禁用主机的 SSO
  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 选择“服务配置”标签。
  3. 在“SRA 配置”下,单击“访问列表”旁边的箭头。

    4. 会显示“访问列表”页面。

  4. 在 SSO 被禁用的“主机”中指定要禁用 SSO 的主机。

    5. abc.siroe.com 格式指定主机名称。

  5. 单击“添加”。

    6. 该主机名被添加到列表。

  6. 单击“保存”记录更改。
  为每个会话启用 SSO
  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 选择“服务配置”标签。
  3. 在“SRA 配置”下,单击“访问列表”旁边的箭头。

    4. 会显示“访问列表”页面。

  4. 选中“为每一会话启用 SSO”复选框以启用会话的单点登录。
  5. 单击“保存”记录更改。
  指定验证级别
  1. 以管理员身份登录到 Identity Server 管理控制台。
  2. 选择“服务配置”标签。
  3. 在“SRA 配置”下,单击“访问列表”旁边的箭头。

    4. 会显示“访问列表”页面。

  4. 滚动到“允许的验证级别”字段。
  5. 输入允许的验证。用星号可允许所有级别。
  6. 单击“保存”记录更改。

自定义访问列表界面

在 Identity Server 管理控制台中编辑访问列表属性文件以更改访问列表用户界面中的标签。编辑该文件:

portal-server-install-root/SUNWam/locale/SRAGatewayAccess.properties

以下示例显示了可以自定义的行:

sunPortalGatewayAccessServiceDescription=Access List

d02=URL Allow List

d05=Policy to Enable/Disable SSO

d04=Enable SSO per Session

d03=Hosts for Which SSO is Disabled

d01=URL Deny List

d06=Allowed Auth levels

您可以更改标签文本,但不能更改与文本相关的号码。



上一页      目录      索引      下一页     

版权所有 2003 Sun Microsystems, Inc. 保留所有权利。