第 8章
配置 URL 存取控制

本章會說明如何從 Sun™ ONE Identity Server 管理主控台允許或拒絕使用者存取。在 SRA 配置、存取清單下，透過特定 URL 的閘道。

備註	按一下 Identity Server 管理主控台右上角的「文件」，然後按一下 SRA 說明以快速取得有關所有 Secure Remote Access 屬性的參考。

若要配置 URL 存取控制，請執行下列動作：

以管理員的身份登入 Identity Server 管理主控台。
選取管理主控台中的「服務配置」標籤。
按一下「SRA 配置」下「存取清單」旁的箭頭。

會顯示「存取清單」頁。

在此您可以執行下列任務：

設定 URL 拒絕清單
設定 URL 允許清單
管理單次登入
自訂存取清單介面

備註	當您安裝 Secure Remote Access 時，在預設情況下所有使用者無法使用「存取清單」服務。僅有在安裝時預設情況下建立的 amadmin 使用者才可使用此服務。其他使用者在沒有此服務的情況下，無法透過閘道存取桌面。以 amadmin 的身份登入，並指定此服務給所有的使用者。

---

設定 URL 拒絕清單

您可以指定一般使用者無法使用此欄位透過閘道存取的 URL 清單。

閘道會在檢查 URL 允許清單之前檢查 URL 拒絕清單。

   若要設定 URL 拒絕清單

以管理員的身份登入 Identity Server 管理主控台。
選取「服務配置」標籤。
按一下「SRA 配置」下「存取清單」旁的箭頭。

會顯示「存取清單」頁。

在「URL 拒絕清單」欄位中，指定您想要拒絕透過閘道存取的 URL。輸入的 URL 格式為：

http://abc.siroe.com

按一下「新增」。

該 URL 會新增到「URL 拒絕清單」。

您也可以使用常規表示式，如 http://*.siroe.com。在這個情況下，會拒絕使用者存取 siroe.com 網域中的所有主機。

按一下「儲存」以記錄變更。

---

設定 URL 允許清單

您可以指定可由一般使用者透過閘道存取的所有 URL。依預設，此清單有萬用字元項目 (*)，表示可以存取所有 URL。若您希望允許存取所有 URL，而僅對特定 URL 限制存取，請將限制的 URL 新增至 URL 拒絕清單中。如果您希望僅允許存取特定 URL，請將 URL 拒絕清單保留空白，並在 URL 允許清單中指定需要的 URL，方法與上述相同。

閘道會在檢查 URL 允許清單之前檢查 URL 拒絕清單。

   若要設定 URL 允許清單

以管理員的身份登入 Identity Server 管理主控台。
選取「服務配置」標籤。
按一下「SRA 配置」下「存取清單」旁的箭頭。

會顯示「存取清單」頁。

在「URL 允許清單」欄位中，指定您想要允許透過閘道存取的 URL。輸入的 URL 格式為：

http://abc.siroe.com

按一下「新增」。

該 URL 會新增到「URL 允許清單」。

備註	「URL 允許清單」預設中有 *，表示可以透過閘道存取所有的 URL。

按一下「儲存」以記錄變更。

---

管理單次登入

在 Secure Remote Access 中的「存取清單」服務允許您控制多個主機的單次登入功能。但為使得單次登入功能可用，「啟用 HTTP 基本認證」選項必須於閘道服務中啟用。請參閱「啟用 HTTP 與 HTTPS 連線」 。

使用「存取清單」服務，您可以停用某些主機的單次登入功能。這表示一般使用者每次連接至需要 HTTP 基本認證的主機時，都會需要認證，除非您已啟用按階段作業單次登入。

若您已停用某個主機的單次登入，使用者可以在單一 Portal Server 階段作業中重新連接至該主機。例如，假設您已停用對 abc.sesta.com 的單次登入。在使用者第一次連接至此站台時，需要認證。使用者可以瀏覽其他網頁並在稍後返回此網頁，且如果該網頁是在相同的 Portal Server 階段作業，則不需要再次認證。

使用者也可以使用受限的管理主控台配置這些屬性。

   停用主機的 SSO

以管理員的身份登入 Identity Server 管理主控台。
選取「服務配置」標籤。
按一下「SRA 配置」下「存取清單」旁的箭頭。

會顯示「存取清單」頁。

在 SSO 是停用欄位的主機中指定您想要停用 SSO 的主機。

以 abc.siroe.com 的格式指定主機名稱。

按一下「新增」。

主機名稱會新增至清單。

按一下「儲存」以記錄變更。

   按階段作業啟用 SSO

以管理員的身份登入 Identity Server 管理主控台。
選取「服務配置」標籤。
按一下「SRA 配置」下「存取清單」旁的箭頭。

會顯示「存取清單」頁。

選擇「按階段作業啟用 SSO」核取方塊以啟用階段作業單次登入。
按一下「儲存」以記錄變更。

   若要指定授權層級

以管理員的身份登入 Identity Server 管理主控台。
選取「服務配置」標籤。
按一下「SRA 配置」下「存取清單」旁的箭頭。

會顯示「存取清單」頁。

捲動「AllowedAuth」層級欄位。
輸入允許的授權。使用星號以允許所有的層級。
按一下「儲存」以記錄變更。

---

自訂存取清單介面

編輯存取清單屬性檔案，以變更 Identity Server 管理主控台的存取清單使用者介面上的標籤。編輯檔案：

portal-server-install-root/SUNWam/locale/SRAGatewayAccess.properties

下列範例顯示可以自訂的行：

sunPortalGatewayAccessServiceDescription=Access List

d02=URL Allow List

d05=Policy to Enable/Disable SSO

d04=Enable SSO per Session

d03=Hosts for Which SSO is Disabled

d01=URL Deny List

d06=Allowed Auth levels

您可以變更標籤文字，但不能變更和文字相關的數字。





上一頁      目錄      索引      下一頁

---

Copyright 2003 Sun Microsystems, Inc. 保留所有權利。