|
| |
| Sun Java System Portal Server 6 2005Q1 管理指南 | |
第 7 章
配置授權管理本章會說明如何為 Sun Java™ System Portal Server 配置授權管理。
本章包含下列章節:
授權管理的摘要當企業要建立更大且更為複雜的入口網站時,集中式的管理模型將不再可行。授權或分散管理工作給實際的入口網站使用者之授權管理或「業務範圍」(LOB) 管理能處理這項問題。
Portal Server 讓您使用角色將管理功能授權給使用者。以角色為基礎的管理能讓企業將其業務分為較小的機構或業務範圍 (LOB),並且讓不同的使用者管理機構、子機構、使用者、策略、角色與根據使用者角色的 LOB 通道。
表 7-1 列出並定義套用於 Portal Server 某些重要的授權管理術語。本表格包括兩欄:第一欄列出術語,而第二欄提供簡要描述。
授權管理角色
Sun Java Sytem Access Manager 管理主控台提供以角色為基礎的授權管理功能給各種不同的管理員,以根據授與的權限來管理機構、使用者、策略、角色與通道。
Sun Java Sytem Access Manager 管理主控台為授權管理功能提供一些預先定義的管理員角色。如下所列:
如需這些角色的詳細資訊,請參閱 Sun Java Sytem Access Manager 產品文件。
備註
Sun Java Sytem Access Manager 也實施其他三種角色:頂層管理、頂層技術支援中心管理與拒絕寫入存取。這些角色在安裝時建立,且僅存在於安裝的根。任何新建立的機構將不會取得這三個角色。依預設,當新的機構建立時,有三個角色會隨之建立:機構管理、機構技術支援中心管理與人物管理。
如果這些功能符合需求,您可以使用這些預先定義的管理員角色來設定您的授權管理實施。例如,如果您的目錄結構是由具有多個子機構的機構所構成,您可以指定「機構管理」角色給使用者來為每個子機構建立授權管理員。然而,若您的企業機構結構更為複雜,可能要針對您的特定需求來建立授權管理模型。為了達成此目標,Sun Java Sytem Access Manager 管理主控台讓您可以定義具有針對您業務需求特權的授權管理員角色。
若要實施企業特定的授權管理模型,有三個重要的概念角色:
當設定系統時會建立頂層管理角色,而當設定新機構時會自動建立機構管理角色。角色管理員角色是您根據授權管理模型的需求所建立的角色。角色管理員角色的存取權限是直接由編輯對應的存取控制指令 (ACI) 來定義。
在授權管理中,套用下列原則:
發展授權管理模型為了適當授權 Portal Server 的管理功能,您應該發展授權管理模型以幫助決定您企業所需的管理角色。發展您的模型時,請將以下條件列入考量:
配置授權管理您執行配置 Portal Server 的授權管理實施的高層級步驟為:
定義角色管理員角色的 ACI 設定
若要為您授權模型中識別的任何角色管理員角色配置適當的特權,必須為您授權模型中的每個唯一角色在 ACI 定義適當的權限。您可以使用 Sun Java Sytem Access Manager 管理主控台或 Directory Server 主控台定義角色的 ACI 權限範本。您也可以使用 ldapmodify 指令定義特定角色的 ACI。
在 Sun Java Sytem Access Manager 管理主控台或使用 Directory Server 主控台定義 ACI 權限範本時,請使用下列格式:
permission_name | aci_desc| dn:aci ## dn:aci ## dn:aci
其中:
permission_name 是權限的名稱。
aci_desc 是這些 ACI 允許的存取文字描述。
dn:aci 代表由 ## 分隔的 DN 與 ACI 對組。Sun Java Sytem Access Manager 將每個 ACI 設定在相關的 DN 項目中。
此格式也支援可以被值取代的標記,而值用別的方法必須在 ACI 中正確指定:ROLENAME、ORGANIZATION、GROUPNAME 與 PCNAME。使用這些標記能讓您定義的角色靈活度足以用作預設。根據預設角色之一來建立角色時,ACI 的標記變成從新角色 DN 中取得的值。
如需設定 ACI 的詳細資訊,請參閱「Sun Java Sytem Access Manager Programmer's Guide」。
若要使用指令行定義 ACI
- 建立包含 ACI 設定的文字檔,以便與 ldapmodify 指令一起使用。例如,下列檔案 acis.ldif 包含兩個稱為 JDCAdmin1 與 JDCAdmin2 角色的 ACI 定義。
- 變更目錄為 Sun Java Sytem Access Manager 公用程式目錄。例如,
cd /AccessManager-base/SUNWam/bin
- 設定 LD_LIBRARY_PATH 以包含 AccessManager-base/SUNWam/ldaplib/solaris/sparc/ldapsdk
- 執行下列指令。
./ldapmodify -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/acis.ldif
- 以管理員的身份登入 Sun Java System Access Manager 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至要建立新角色的機構或子機構 (例如 JDCAdmin1 與 JDCAdmin2)。
- 為您建立的角色建立 [桌面] 服務範本。
- 在角色顯示設定檔中建立標籤 (例如,JDC 的角色顯示設定檔)。
- 瀏覽至要建立標籤的角色。
- 在瀏覽窗格中的 [檢視] 功能表中選擇 [服務]。
- 按一下瀏覽窗格中 [桌面] 旁邊的特性箭頭。
- 桌面屬性頁面隨即出現在資料窗格中。
- 在桌面頁中按一下 [通道與容器管理] 連結。
- [通道] 頁面隨即出現,具有在根處設定的容器路徑集。
- 按一下想要新增通道或容器的 [容器]。
- 頁面頂端顯示將新增通道的容器路徑。已定義的通道與容器會顯示在清單中 (若有的話)。
- 按一下 [新增] 以新增容器通道或通道。
- 若要新增容器通道,請按一下 [容器通道] 下的 [新增]。若要新增通道,請按一下 [通道] 下的 [新增]。
- [新增] 頁面隨即顯示。
- 請鍵入通道名稱,然後從功能表中選取提供者類型。
- 按一下 [建立]。
如需詳細資訊,請參閱第 10 章「管理顯示設定檔」。
- 建立使用者 (例如 admin1 或 admin2)。
- 指定角色給使用者 (例如 JDCadmin1 給 admin1 或 JDCadmin2 給 admin2)。
- 登出管理主控台。
若要使用管理主控台定義 ACI
- 以頂層管理身份登入 Sun Java Sytem Access Manager 管理主控台。
依預設,位置功能表中的 [識別管理] 及瀏覽窗格中的 [機構] 皆已選取。
- 按一下位置窗格中的 [服務配置]。
- 按一下 [管理] 服務旁的特性箭頭。
管理屬性隨即顯示在資料窗格中。
- 在 [預設角色權限] (ACI) 項目欄位中,輸入 ACI 定義並按一下 [新增]。例如,對於之前已定義的 JDCAdmin1 and JDCAdmin1 角色,您會輸入下列:
JDCAdmin1|Add/delete users from JDC role|dc=sesta,dc=com:aci:(target= "ldap:///ou=people,dc=sesta,dc=com") (targetattr = "*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search users"; allow (read,search) roledn = "ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)##dc=sesta,dc=com:aci:(target="ldap:///dc=sesta,dc=com") (targetfilter="(entrydn=cn=JDC,dc=sesta,dc=com)")(targetattr="*")(version 3.0; acl "Allow JDCAdmin1 Role to read and search JDC Role";allow (read,search) roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";) ##dc=sesta,dc=com:aci:(target="ldap:///ou=people,dc=sesta,dc=com")(targetattr="nsroledn")(targetfilter="(!(|(nsroledn=cn=Top-level Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Help Desk Admin Role,dc=sesta,dc=com)(nsroledn=cn=Organization Admin Role,dc=sesta,dc=com)(nsroledn=cn=Top-level Policy Admin Role,dc=sesta,dc=com)))")(targattrfilters="add=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com),del=nsroledn:(nsroledn=cn=JDC,dc=sesta,dc=com)")(version 3.0; acl "Allow JDCAdmin1 Role to add/remove users to JDC Role"; allow (write)roledn="ldap:///cn=JDCAdmin1,dc=sesta,dc=com";)
JDCAdmin2|Add/remove channels from the JDC role|dc=sesta,dc=com:aci:(target="ldap:///cn=SunPortalDesktopService,dc=sesta,dc=com")(targetfilter=(cn=cn=JDC,dc=sesta,dc=com))(targetattr="*")(version 3.0; acl "Allow JDCAdmin2 to edit display profile of JDC Role"; allow (all) roledn="ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)##dc=sesta,dc=com:aci:(target="ldap:///dc=sesta,dc=com")(targetattr = "*") (version 3.0; acl "Allow JDCAdmin2 to read and search all"; allow (read,search) roledn = "ldap:///cn=JDCAdmin2,dc=sesta,dc=com";)
新的 ACI 會出現在 [預設角色權限] (ACI) 清單中。
- 按一下 [儲存]。
若要為授權模型建立新的管理角色
一旦您已建立定義授權管理角色權限的 ACI,則必須建立使用該 ACI 定義的角色。
- 以頂層管理或機構管理身份登入 Sun Java Sytem Access Manager 管理主控台。
依預設,位置功能表中的 [識別管理] 及瀏覽窗格中的 [機構] 皆已選取。
- 瀏覽至要建立角色的機構或子機構。
所有已建立的機構會顯示在瀏覽窗格中。
備註
如果這是新機構,您必須新增所有服務並建立適當的範本。如需更多資訊,請參閱第 6 章「管理認證、使用者與服務」。
- 從 [檢視] 功能表選擇 [角色],並按一下 [新增]。
[新角色] 的頁面出現在資料窗格中。
- 輸入名稱、選取靜態角色並按一下 [下一步]。
- 輸入描述並選擇 [管理] 為類型。
- 選取 [存取權限]:
- 按一下 [建立]。
新的角色會出現在瀏覽窗格中。
若要指定角色管理員角色
- 以管理員的身份登入 Sun Java System Access Manager 管理主控台。
依預設,位置功能表中的 [識別管理] 及瀏覽窗格中的 [機構] 皆已選取。
- 瀏覽至已建立角色的機構或子機構。
所有已建立的機構會顯示在瀏覽窗格中。
- 從 [檢視] 功能表中選擇 [角色]。
- 按一下角色的特性箭頭以指定。
- 在資料窗格中從 [檢視] 功能表中選擇 [使用者],然後按一下 [新增]。
[新增使用者] 的頁面出現在資料窗格中。
- 指定欄位的值以尋找要指定的使用者,並按一下 [篩選]。
使用者清單隨即顯示。
- 核取要指定角色至使用者旁的方塊,或按一下 [全選] 以選擇所有使用者。
- 按一下 [提交]。
此角色的使用者清單會更新被指定的使用者。
若要配置角色管理員角色的其他限制
您可以配置一個具有受限功能組的角色。您想要的一般限制是角色有權限修改顯示設定檔並執行內容管理功能,但是限制檢視 [桌面] 的其餘屬性。
您也可以設定授權管理員具有起始 DN 檢視。起始 DN 檢視是授權管理員可以看到並修改實體之下的目錄位置。
若要配置角色的其他限制: