|
| |
| Sun Java System Portal Server 6 2005Q1 管理指南 | |
第 6 章
管理認證、使用者與服務本章說明如何使用 Sun Java™ System Access Manager 來管理認證、使用者和服務。本章不會嘗試說明 Access Manager 的各方面。相反地,會將重點放在與 Sun Java™ System Portal Server 相關的方面。如需更多資訊,請參閱 Access Manager 文件。
本章包含下列章節:
Sun Java System Access Manager 概述在 Sun Java System Portal Server (前身為 Sun™ ONE Portal Server) 實作中,您可透過產品本身管理認證方法、建立網域、角色及使用者,並且管理其他資料 (如設定檔屬性及記錄)。您也能使用 iPlanet Portal Server 3.0 API 以開發自訂的應用程式。
如今,對於 Portal Server 6 產品,您能使用 Access Manager 管理功能以及之前在 iPlanet Portal Server 3.0 找到的 API。Access Manager 是利用 Sun Java™ System Directory Server 管理與安全潛力的一組工具。Access Manager 的目標在於提供一個介面,以便於讓使用 Sun Java System Directory Server 的機構來管理使用者物件、策略及服務。
Access Manager 能讓:
您能透過圖形使用者介面以網路為基礎的 Access Manager 管理主控台來存取這三項功能。此外,指令行介面 amadmin 能讓您在 Directory Server 上執行批次管理工作。例如,您可以建立、新增與啟動新服務;以及建立、刪除與讀取 (取得) 機構、人物容器、群組、角色及使用者。
Access Manager 功能摘要
Access Manager 提供下列管理元件。之前,這些元件存在於 Portal Server 3.0 架構自身。
- 使用者管理 - 建立與管理使用者相關的物件 (使用者、角色、群組、人物容器、機構、子機構與機構單位物件)。這些可以使用 Access Manager 主控台或指令行介面來定義、修改或刪除。
- 認證 - 為使用者認證提供外掛程式解決方案。認證特定使用者所需的準則是根據 Portal Server 企業中每個機構配置的認證服務。在被允許存取 Portal Server 階段作業之前,每個使用者都必須成功通過認證。
- 單次登入 - 使用者一旦受到認證,單次登入 (SSO) 的 Access Manager API 便會接管。每次已獲得認證的使用者嘗試存取受保護的頁面時,SSO API 會根據其認證憑證,決定使用者是否具有所需的權限。如果使用者為有效,則會提供對該頁面的存取而不需要其他認證。如果無效,將會提示使用者再次認證。
- 服務管理 - 指定預設與自訂服務的配置參數,包括 Portal Server 產品本身 (Portal Desktop、Rewriter、搜尋與 NetMail) 的配置參數。
- 策略管理 - 定義、修改或移除控制對商務資源存取的規則。整體而言,這些規則稱為政策。政策能以角色或機構為基礎,而且能提供權限或定義限制。
比較:Portal Server 3.0 與 Portal Server 6.2
表 6-1 提供 Portal Server 產品所發生主要變更的摘要。之前為 Sun ONE Portal Server 3.0 (前身為 iPlanet Portal Server 3.0) 產品一部分的許多功能,現在是 Access Manager 的一部分。在表格中,第一欄列出概念或術語,第二欄定義 Portal Server 3.0 產品中該術語的功能,第三欄描述 Portal Server 6.2 產品中對應的功能。
表 6-1 Portal Server 3.0 對 Portal Server 6.2 之比較
概念或術語
Portal Server 3.0
Portal Server 6.2
角色樹
您在 Portal Server 3.0 內配置的階層,用於機構使用者與應用程式。角色樹的四個層級為:
角色樹的概念不再適用。
相反地,因為 Access Manager 利用了 Sun Java System Directory Server 的功能,您可以使用目錄資訊樹 (DIT) 來機構您的使用者、機構、子機構等等。
網域/機構
具有共同興趣使用者的頂層群組,例如員工或客戶。請注意這不是 DNS 網域,而是 Portal Server 3.0 用於將使用者群組為邏輯社群的方法。
網域的概念不再適用。相反地,Access Manager 機構代表企業所使用階層式結構的頂層,用於管理其部門與資源。
在安裝時,Access Manager 會詢問根字尾,預設是由網域名稱導出 (例如,對於網域 sun.com,預設是 dc=sun, dc=com)。在安裝之後可以建立其他的機構以管理分別的企業。所有建立的機構會落在頂層機構之下。在這些子機構中可以嵌入其他子機構。巢式結構沒有深度上的限制。
角色
根據功能分隔網域的成員。角色包含一組屬性與定義使用者桌面策略的策略。
包含可授與使用者的權限或一組權限。這包含儲存在 Sun Java System Directory Server 的識別資訊的存取與管理,以及 Access Manager 策略模組所保護權限的存取。Access Manager 角色也與儲存在服務類別範本的設定檔相關。
角色在 Access Manager 中定義不同,而且它包括單一使用者具備多重角色的能力,之前並未支援。
角色的權限定義於存取控制指令 (ACI) 中。Access Manager 包含幾個預先定義的角色。Access Manager 主控台讓您編輯角色的 ACI 以指定「目錄資訊樹」中的存取權限。
屬性
支援兩種屬性類型:全域與使用者可配置。全域屬性套用整個平台而且只能由「超級管理員」配置。使用者可配置的屬性套用至角色樹的基本層級,如下列章節所描述。獲授權的「網域管理員」可以為網域、父角色、子角色與使用者層級配置這些屬性。在角色樹的使用者層級,如有需要可以為每個使用者自訂某些屬性。
利用 Access Manager 的屬性,其中可以是下列類型之一:
- 全域 - 套用至全域屬性的值會套用至整個 Access Manager 配置,並由各配置的機構繼承。
- 動態 - 動態屬性可以指派至 Access Manager 的配置角色或機構。當角色被指派至使用者或於機構中建立使用者時,動態屬性則會變為使用者的特性。
- 機構 - 這些屬性只被指派至機構。在那個方面,它們以動態屬性作業。雖然它們不是由子樹的項目繼承,與動態屬性有所不同。
- 使用者 - 這些屬性直接指派至每個使用者。它們不是繼承自角色或機構,且一般而言對於每個使用者都不同。
- 策略 - 策略屬性是權限屬性。一旦策略已配置,就能指定至角色或機構。這就是動態屬性與策略屬性唯一的不同;動態屬性直接指定至角色或機構,而策略屬性用於配置策略然後套用至角色或機構。
策略
配置應用程式、桌面、NetFile、Netlet 與其他的入口網站存取策略。
定義誰能對哪些資源執行什麼操作的規則。Access Manager 策略服務能讓機構設定這些規則或策略。一般而言,策略建立於機構 (或子機構) 層級,用於整個機構樹。為了建立命名的策略,特定的策略服務必須先新增於機構,而策略將建立在該機構之下。
在 Sun Java System Identity Server 6.2 中,策略服務僅由受允許或拒絕的 URL 清單所組成。對於 Portal Server 而言,這不足以建立內容以策略為基礎的桌面。這也是通道存取的策略建立在桌面顯示設定檔的原因。Portal Server 6 桌面支援允許合併多個角色通道清單的顯示設定檔。例如,如果您有 25 個角色,每個具有與該角色相關的少數通道,可以配置使用者具備那些角色的任何數目,而它們取得的桌面將會提供所有那些角色的聚集體。合併語義控制來自幾個角色的通道是如何被聚集或合併。為了合併顯示設定檔的目的,階層式排序是強加於 Portal Server 的角色。合併開始會先使用優先順序最低的文件 (最低數),然後再依序處理優先順序數較高的文件,直到到達使用者層級,即最高優先順序的設定檔。如需合併顯示設定檔的資訊,請參閱第 10 章「管理顯示設定檔」。
元件/服務
Portal Server 3.0 的四個主要元件為伺服器本身、設定檔伺服器、閘道與防火牆。
元件已由 Access Manager 服務取代,那是在一般名稱之下定義的屬性群組。那些屬性定義服務提供機構的參數。Access Manager 是服務架構。
Portal Server 6 依靠 Access Manager 提供核心服務,例如認證、使用者管理與策略管理,以及架構以執行 Portal Server 的特定服務 (桌面、NetMail、Rewriter 與搜尋)。
管理介面
提供其本身的管理主控台以便只管理 Portal Server 3.0 元件。
指令行介面是 ipsadmin。
使用 Access Manager 管理主控台管理 Access Manager 服務、使用者與策略,以及 Portal Server 的特定服務 (桌面、NetMail、Rewriter 與搜尋。)
取代 ipsadmin 的指令行介面是 amadmin、dpadmin 與 rwadmin。
比較:Portal Server 6.0 與 Portal Server 6.2
表 6-2 提供 Portal Server 6.0 產品與 Portal Server 6.2 產品之間所發生變更的摘要。在表格中,第一欄列出概念或術語,第二欄定義 Portal Server 6.0 產品中該術語的功能,第三欄描述 Portal Server 6.2 產品中對應的功能。
表 6-2 Portal Server 6.0 對 Portal Server 6 之比較
概念或術語
Sun Java System Portal Server 6.0
Portal Server 6
策略
指定策略至使用者。一旦命名與建立策略,就能被指定至機構或角色。在機構層級指定策略讓機構中所有項目都可用其屬性。指定策略至角色讓包含該角色屬性的所有使用者都可用其屬性。
授權機構的策略定義與決定給其他機構。(或者,可以將資源的策略決策委託給其他策略產品。)參照策略控制策略建立與評估兩者的策略授權。
建立一般策略以定義存取權限。一般策略可由多個規則、物件與條件所組成。
認證功能表
Sun ONE Identity Server 5.1 管理主控台所提供的認證功能表配置功能支援使用者選取的認證模組功能表。
如果您需要配置有效認證模組的可選清單,請使用 Sun Java System Identity Server 管理主控台將每個認證模組設定為與認證層級屬性相同的值。如需配置認證模組的資訊,請參閱第 6 章「管理認證、使用者與服務」。
Access Manager 限制
當使用 Access Manager 時,下列限制會套用:
- 預先定義的 Access Manager 角色無法橫跨多個平行的機構,然而角色可以指定至存在於該角色相關的機構中子機構的使用者。此外,藉由建立自訂角色與定義必要的存取控制指令 (ACI) 也可以啟用對多網域資源的存取,以授與角色所需的權限。
- 使用者必須屬於機構而且只能屬於該機構。
- 不支援階層式角色。例如,您不能建立等於角色 A 與角色 B 總和的角色 C,而且讓具有角色 C 的使用者能存取角色 A 的資源但是卻不明確指定至角色 A。
- RoleAdministratorRole 的存取權限只能直接透過編輯對應的 ACI 來配置。
- 當角色管理員 (獲授權的管理員) 登入 Access Manager 管理主控台時,他們可以看到相同機構下所有角色與其相關的服務及屬性,即使該角色管理員並沒有權限修改。
Access Manager 介面
Access Manager 管理主控台
這個以瀏覽器為基礎的主控台提供圖形使用者介面來管理 Access Manager 企業,包括 Portal Server 服務。管理主控台有預設管理員具備不同程度的權限,用於建立與管理服務、策略與使用者。(可以根據角色建立其他授權的管理員。)如需更多資訊,請參閱第 7 章「配置授權管理」。
Access Manager 管理主控台分為三個部分:位置窗格、瀏覽窗格與資料窗格。藉由使用這三個窗格,您可以瀏覽目錄、執行使用者與服務配置,並建立策略。
如需更多資訊,請參閱第 1 章「管理 Sun Java System Portal Server 簡介」。
Access Manager 指令行
Access Manager 指令行介面在管理伺服器時為 amadmin。amadmin 也用於將 XML 服務檔案載入目錄伺服器,以及在目錄樹上執行批次管理工作。iPlanet Portal Server 3.0 指令行介面 ipsadmin 和 ipsserver 不再使用。
如需 amadmin 的詳細資訊,請參閱 Access Manager 文件。
登入 Access Manager 管理主控台您可以用兩種方式登入 Access Manager 主控台:
當您登入管理主控台時,呈現的功能會依您的存取權限而定。存取權限是根據指定給您的 ACI 或角色來決定。例如,超級使用者能看到管理主控台的所有功能;獲授權的管理員可能只看到此功能子集,也許只屬於子機構;而一般使用者只能看到與其特定使用者 ID 有關的使用者屬性。
目前有兩種 URL 可用於登入管理主控台:
/amconsole URL 明確請求 Access Manager 管理主控台的 HTML 頁面。如果您使用 /amconsole 登入,則會開啟管理主控台,然後您將看到 URL 變更為 /amserver/UI/login,所以使用者可認證。無論配置如何,此 URL 可用於存取管理主控台。
/amserver URL 請求 Access Manager 服務的 HTML 頁面。雖然 Portal Server 安裝時的預設設定是重新導向此 URL 以登入管理主控台,因為 /amserver URL 存取 Access Manager 服務,所以此 URL 可用於讓主控台以外的其他服務可用。例如,
若要登入 Access Manager 管理主控台
使用 IP 位址配置登入管理主控台
您無法使用伺服器的 IP 位址登入 Access Manager 管理主控台。這是因為 Access Manager 的 cookie 網域設定。
但是您可以將本機主機的 IP 位址新增至管理主控台的 Cookie 網域清單。
現在您應該可以用 IP 位址而不是網域名稱存取管理主控台。
檢視基本資訊可用程序檔顯示關於產品的基本資訊,例如 Portal Server 的版本與建立日期,以及 jar 檔案的版本與建立日期。版本程序檔安裝於 PortalServer-base/SUNWps/bin 目錄,其中 PortalServer-base 是您安裝 Portal Server 的基礎目錄。預設是 /opt。
若要檢視產品資訊:
啟動與停止 Portal Server本節描述如何停止與啟動 Portal Server。您必須使用該 Web 容器的程序檔重新啟動每個 Web 容器實例。例如:
這些指示會因網路容器而有所不同。如需更多資訊,請參閱 Web 容器文件。
Portal Server 支援各種平台語言環境。若要以安裝預設以外的值啟動 Portal Server,請參閱「Sun Java System Portal Server 6 2005Q1 Developer's Guide」。
管理 Access Manager 服務本節提供 Portal Server 所使用 Access Manager 服務的簡介。如需完整資訊,請參閱 Access Manager 文件。
安裝與 Sun Java System Web Server 封裝
使用者管理
單次登入/認證
服務管理
Portal Server 6 定義下列 Access Manager 服務:
- 桌面 - 提供入口網站的前端,而且是對入口網站的一般使用者主要介面。如需設定與管理 Portal Desktop 的資訊,請參閱第 8 章「管理 Portal Desktop 服務」。
- NetMail - 存取網際網路中的 IMAP 與 SMTP 郵件伺服器,並且讓使用者透過入口網站存取郵件。如需設定與管理 NetMail 的資訊,請參閱第 11 章「管理NetMail服務」。
- Rewriter - 實施管理員設定的規則重新編寫 URL 以提供適當的存取。如需設定與管理 Rewriter 的資訊,請參閱第 12 章「管理Rewriter服務」。
- 搜尋 - 提供 Portal Server 的搜尋功能,包括可用文件的基本與進階搜尋通道。如需設定與管理「搜尋」服務的資訊,請參閱第 13 章「管理搜尋引擎服務」。
管理 Portal Server 使用者目錄資訊樹 (DIT) 將您的使用者、機構、子機構等機構成邏輯或階層式的結構,讓您有效管理擔任那些角色或隸屬於那些機構的使用者,並為其指派適當的存取。本節藉由提供關於機構、子機構與角色的功能,並提供建立與管理機構、角色與使用者的程序,幫助您計劃目錄結構或目錄樹位於您入口網站伺服器實施之下。
Access Manager 中機構樹的頂端是在安裝時指定。在安裝之後可以建立其他的機構以管理分別的企業。所有建立的機構會落在頂層機構之下。在這些子機構中可以嵌入其他子機構。巢式結構沒有深度上的限制。
角色是新的群組機制,設計讓應用程式更有效率且更易於使用。每個角色都有成員或擁有角色的項目。藉由群組,您可以明確或動態指定角色成員。角色機制會自動產生包含所有角色定義 DN 的 nsRole 屬性,而在定義中項目是成員。每個角色包含可授與一個使用者或多個使用者的一個權限或一組權限。在 Portal Server 6 中,可以將多重角色指定給單一使用者。角色的權限定義於存取控制指令 (ACI)。Portal Server 包含幾個預先定義的角色。Access Manager 主控台讓您編輯角色的 ACI 以指定「目錄資訊樹」中的存取權限。內建的範例包括 Top-level Admin Role 與 Top-level Help Desk Admin Role。您可以建立各機構可共用的其他角色。
計劃機構、子機構與角色
在您計劃 DIT 結構時,必須決定要使用階層式或平面式的樹結構。就一般規則,您應該努力讓您的樹層次盡可能少。然而,隨著您機構大小的增加,具有某種程度的階層對於促進授與及管理使用者存取而言很重要。對於建立您的 DIT 結構,Access Manager 中三個重要的結構實體為機構 (或子機構)、角色與使用者。在您計劃結構之前,應該了解這些實體中每一個的功能、特性與相互關係。
機構與子機構
角色
使用者
分析藍本 1:具有子機構與角色的階層式結構
雖然您應該努力讓結構層次盡可能少,某些階層對於提供必要的群組很有用。建立階層式結構的高層級步驟為:
- 建立頂層機構。
- 識別您企業中所有使用者的功能性或機構性群組,並決定您要用哪些來建立 DIT 結構實體,也就是需要具備特定權限的那些群組。一般而言,這應該只是您企業中最大的子分部,而管理員用於管理它們。使用常規或功能性的名稱,這樣重新機構與名稱變更就不會是問題。
- 對於每個與頂層機構有某種關聯的 DIT 實體,為該實體建立子機構 (也就是在 Access Manager 世界中位於另一個機構下的機構) 或角色。
使用下列指導方針決定要使用子機構或角色:
- 對於每個角色,定義 RoleAdministratorRole 以管理角色。然後適當設定 ACI (管理權限:新增或刪除使用者、修改角色屬性等。)
- 定義將存取您企業的使用者。如果使用者繼承其機構的權限,請將它們置於適當的機構。如果使用者透過角色指定接收他們的權限,他們必須被置於該角色的範圍內,也就是定義該角色的機構或子機構之內。
圖 6-1 說明階層式目錄結構。在本圖中,頂層機構是 Sesta.com。緊接著頂層之下的是負責管理機構的 SestaAdminRole 以及 Corporate 與 Partners 子機構。Corporate 機構有三個子機構:Finance、Operations 與 Sales。因為在 Sales 機構中有多個使用者類型,所以定義兩個角色:SalesRole1 與 SalesRole2。在 Partners 機構中有三個子機構:Partner1、Partner2 與 Partner3。這些機構每個都需要自己的管理員,所以定義三個個別與適當機構相關的角色。事業夥伴角色為 PartnerAdmin1、PartnerAdmin2 與 PartnerAdmin3。
圖 6-1 階層式目錄結構
分析藍本 2:平面式樹結構
如果您的機構經常變更,較淺或完全平面式的樹結構可能較適當。如果您的企業經常進行變更,具有一個機構、一個「用戶」容器以及所有角色在相同層級的結構很有用。只有一個機構的情形,企業的變更不會影響您的 DIT。定義所有存取權限使用角色,既然所有角色處於單一「用戶」容器之中、且所有角色都處於相同層級,因此每個使用者都可以被授予任何一個角色。
圖 6-2 說明平面式目錄結構。在本圖中,頂層且唯一機構是 Sesta.com。所有實體直接定義在此頂層機構之下。其中包括 SestaAdminRole 用於管理機構、四個角色用於各種公司所需的功能 - Finance、Operations、Sales1 與 Sales2 的使用者,以及事業夥伴所需的六個使用者功能角色:Partner1Role、Partner2Role、Partner3Role、Partner1AdminRole、Partner2AdminRole 與 Partner3AdminRole。
圖 6-2 平面式目錄結構
建立新機構與子機構
機構與子機構讓您為管理與存取控制的目的架構並群組使用者。一旦您決定了企業的階層或架構,就必須建立必要的機構與子機構來實施。依預設,當您建立新的機構或子機構時,其中尚未定義服務、策略、使用者或角色。所以每當您建立新的機構或子機構時,必須執行下列高層級步驟來配置:
- 新增您希望機構可用的所有服務。如需詳細資訊,請參閱若要新增服務。一般而言,您最少要新增下列服務:
- 認證。核心認證服務與機構中使用者會用於認證 (LDAP,匿名) 的任何認證服務。有關更多資訊,請參閱配置認證。
- URL 策略代理程式。
- 使用者。
- Portal Server 配置。您要為機構中使用者啟用的任何 Portal Server 服務 (Portal Desktop 與 NetMail)。
- 為每個新增的服務建立範本。如需更多資訊,請參閱若要建立服務的範本。
- 建立對機構內使用者授與存取權限所需的策略。如需使用策略的更多資訊,請參閱 Portal Server 如何使用策略管理的簡介。
- 新增使用者至機構。如需詳細資訊,請參閱若要加入新使用者。
- 建立與指定您在機構中需要的任何角色。如需詳細資訊,請參閱若要建立新角色與若要指定角色至使用者。
- 配置為您機構啟用的服務。若要配置桌面的資訊,請參閱第 8 章「管理 Portal Desktop 服務」。若要配置 NetMail,請參閱第 11 章「管理NetMail服務」。
為了建立新機構並配置它以使用入口網站的快速啟動程序,請參閱建立新的入口網站機構快速啟動。
若要建立新的機構或子機構
對於如何計劃將您的機構及子機構與 Portal Server 一起使用的建議,請參閱計劃機構、子機構與角色。
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,已選取位置窗格中的 [識別管理] 且 [所有已建立的機構] 已顯示於瀏覽窗格中。
- 如果您在建立子機構,使用瀏覽窗格選取要建立子機構的機構。
- 按一下瀏覽窗格中的 [新增]。
[新機構] 的頁面顯示在資料窗格中。
- 在 [新機構] 頁面中輸入機構或子機構名稱的值。
- 選擇 [作用中] 或 [非作用中] 狀態。
預設是 [作用中]。可以選取特性箭頭隨時在機構或子機構的生命期間進行變更。選擇 [非作用中] 停用登入機構或子機構。
- 按一下 [確定]。
新的機構或子機構會顯示在瀏覽窗格。
- 從 [檢視] 功能表中選擇 [服務]。
- 按一下 [新建]。
- 啟用新機構的桌面服務。
若要新增服務
若要建立服務的範本
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至已新增服務存在的機構或子機構。
使用瀏覽窗格中的 [檢視] 功能表。
- 從 [檢視] 功能表中選擇 [服務]。
- 按一下已新增服務旁的特性箭頭。
- 接受或修改該服務的預設屬性值,並按一下 [儲存]。
備註
在 LDAP 和 POLICY CONFIGURATION 中,服務空白密碼欄位是位於超級使用者連結的 DN 底下 (cn=amldapuser,...)必須提供並儲存這個密碼以正確地配置策略與 ldap 配置。密碼與管理員使用者密碼並「不」相同。請詢問您的 UNIX 管理員有關這些密碼的資訊。
如需有關設定 Access Manager 特定服務屬性的資訊,請參閱「Access Manager 管理指南」。如需設定 Portal Server 特定服務屬性的資訊,請參閱此指南中適當的附錄。
若要加入新使用者
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至要建立使用者的機構或子機構。
- 從 [檢視] 功能表選擇使用者,並按一下 [新增]。
[新使用者] 頁面會出現在資料窗格中。
備註
如果您沒有看見使用者反而看見下拉式功能表的 [人物容器],請確定您已為機構或頂層某點設定了 [顯示人物容器] 屬性。這是在 [管理] 之下 Access Manager 服務中設定。
使用者確實會一直進入 [人物容器],但除非已選取 [顯示人物容器] 屬性,您只能在機構下看見它們並與它們互動。依預設是沒有設定 [顯示人物容器]。
- 選取要指定給使用者的服務,並按一下 [下一步]。
一般而言,您至少要為大多數使用者新增 [Portal Desktop]、[認證配置] 與 [訂閱] 服務。
- 輸入使用者資訊並按一下 [完成]。
新的使用者會出現在瀏覽窗格中。
若要新增服務至使用者
若要建立新角色
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至要建立角色的機構或子機構。
- 從 [檢視] 功能表選擇 [角色],並按一下 [新增]。
[新角色] 的頁面出現在資料窗格中。
- 輸入角色資訊 (名稱、描述、角色類型、存取權限),並按一下 [完成]。
新的角色會出現在瀏覽窗格中。
備註
如果您在為授權的管理建立自訂角色,您必須之前已定義該角色的 ACI 權限。如需詳細資訊,請參閱第 7 章「配置授權管理」。
若要指定角色至使用者
啟用現有使用者以存取 Portal Server
當您在 Access Manager 的現有實例上安裝 Portal Server 時,不會新增使用者以使用 Portal Server 桌面。為了使用者能存取桌面,您必須啟用它們。使用下列程序來啟用預設機構或其他機構中的使用者。
若要啟用預設機構中的使用者
在開始之前,您必須取得某些配置資訊。如果您不知道配置的所有詳細資訊,可以使用 /var/sadm/pkg/SUNWps/pkginfo 檔案的程序檔擷取資訊。
- 從 /var/sadm/pkg/SUNWps/pkginfo 檔案決定或擷取資訊:
- 目錄管理員的區別名稱 (稱為 DS_DIRMGR_DN/)。預設值是 cn=Directory Manager。
- 目錄管理員密碼 (稱為 DS_DIRMGR_PASSWORD/)。
- 目錄伺服器的完全合格網域名稱 (稱為 DS_HOST/)。
- 目錄伺服器執行的連接埠 (稱為 DS_PORT/)。預設值是 389。
- 目錄樹的根字尾 (稱為 DS_ROOT_SUFFIX/)。預設值是 dc=orgname,dc=com (such as dc=sun,dc=com)。
- Portal Server 安裝的預設機構 (稱為 DS_DEFAULT_ORG/)。預設值是 o=domain-name。
- Portal Server 安裝的基底目錄。預設值是 /opt。
如果您不知道配置資訊,請執行下列程序檔並參考輸出以取得您需要完成此程序的資訊。
- 變更目錄為 Access Manager 公用程式目錄。例如,如果基本目錄是 /opt,請輸入:
cd /AccessManager-base/SUNWam/bin
- 如果目錄伺服器與預設機構的根字尾不相同,請執行下列指令:
./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ -b "ou=People,/DS_DEFAULT_ORG/,/DS_ROOT_SUFFIX/" "(uid=*)" dn | /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1
- 如果目錄伺服器與預設機構的根字尾相同,請執行下列指令:
./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/ -b "ou=People,/DS_ROOT_SUFFIX/" "(uid=*)" dn | /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1
- 執行下列指令
grep "^dn" /tmp/.tmp_ldif_file1 | awk ’{
print $0
print "changetype:modify
print "add:objectclass"
print "objectclass:sunPortalDesktopPerson"
print "objectclass: sunPortalNetmailPerson\n" }’ >
/tmp/.tmp_ldif_file2- 執行下列指令。
./ldapmodify -c -h DS_HOST -p DS_PORT \ -D DS_DIRMGR_DN -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2
- 移除所有暫存檔。
rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2
若要啟用非預設機構中的使用者
- 從 /var/sadm/pkg/SUNWps/pkginfo 檔案決定或擷取資訊:
- 目錄管理員的區別名稱 (稱為 DS_DIRMGR_DN/)。預設值是 cn=Directory Manager。
- 目錄管理員密碼 (稱為 DS_DIRMGR_PASSWORD/)。
- 目錄伺服器的完全合格網域名稱 (稱為 DS_HOST/)。
- 目錄伺服器執行的連接埠 (稱為 DS_PORT/)。預設值是 389。
- 目錄樹的根字尾 (稱為 DS_ROOT_SUFFIX/)。預設值是 dc=orgname,dc=com (such as dc=sun,dc=com)。
- 您想要更新使用者的 Portal Server 安裝的機構 (稱為 DS_ORG_TO_UPDATE/)。預設值是 "。
- Portal Server 安裝的基底目錄。預設值是 /opt。
- 為包含您要啟用的現有使用者的機構或子機構新增服務。如需程序上的資訊,請參閱若要新增服務。
- 為您新增的每個服務建立範本。如需關於程序的資訊,請參閱若要建立服務的範本。
- 建立與指定每個服務的策略。如需詳細資訊,請參閱若要為同等機構或子機構新增策略服務、若要為同等機構或子機構建立參考策略與若要為同等機構或子機構建立一般策略。
- 設定 URL 為重新導向機構中成功認證的使用者。請參閱「若要成功的重新導向登入使用者至 Portal Desktop URL」。
- 變更目錄為 Access Manager 公用程式目錄。例如,如果基本目錄是 /opt,請輸入
cd /AccessManager-base/SUNWam/bin
- 啟用機構內的使用者,請執行下列操作之一:
- 若只要啟用定義為 DS_ORG_TO_UPDATE/ 的特定機構內使用者,則使用下列指令 (請以一行鍵入):
./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/
-b "ou=People,/DS_ORG_TO_UPDATE/,/DS_ROOT_SUFFIX/" "(uid=*)" dn |
/usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1- 若要啟用所有機構中的使用者,則使用下列指令 (請以一行鍵入):
./ldapsearch -h /DS_HOST/ -p /DS_PORT/ -D /DS_DIRMGR_DN/ -w /DS_DIRMGR_PASSWORD/
-b "/DS_ROOT_SUFFIX/" "(uid=*)" dn | /usr/bin/sed ’s/^version.*//’ > /tmp/.tmp_ldif_file1- 執行下列指令:
grep "^dn" /tmp/.tmp_ldif_file1 | awk ’{
print $0
print "changetype:modify
print "add:objectclass"
print "objectclass:sunPortalDesktopPerson"
print "objectclass: sunPortalNetmailPerson\n" }’ > /tmp/.tmp_ldif_file2- 執行下列指令:
./ldapmodify -c -h DS_HOST -p DS_PORT \ -D "DS_DIRMGR_DN" -w DS_DIRMGR_PASSWORD -f /tmp/.tmp_ldif_file2
- 移除所有暫存檔。
rm /tmp/.tmp_ldif_file1 /tmp/.tmp_ldif_file2
- 變更目錄為 Portal Server 公用程式目錄。
cd /AccessManager-base/SUNWps/bin
- 執行下列以載入您非預設機構的顯示設定檔。
./dpadmin modify -u "uid=amadmin,ou=people,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" -w DS_DIRMGR_PASSWORD -d "NON_DEFAULT_ORG,DS_DEFAULT_ORG,DS_ROOT_SUFFIX" AccessManager-base/SUNWps/samples/desktop/dp-org.xml
建立新的入口網站機構快速啟動
下列工作描述建立新機構並啟用它供入口網站使用。依預設,當您登入時,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 建立新機構。
- 為新機構新增服務。
- 將桌面參照策略從父系機構建立至新機構。
參照必須定義父系機構為規則中的資源,且必須包含 SubOrgReferral 與作為參照中值的子機構。
- 選取位置窗格中的 [識別管理]。
- 選取父系機構。
- 從 [檢視] 功能表中選取 [策略]。
- 按一下 [新增] 以建立新策略。
[建立策略] 的頁面出現在資料窗格中。
- 選取策略類型的參照。
- 對於名稱,請鍵入 SubOrgReferral_桌面。然後按一下 [確定]。
建立的策略會出現在 [策略] 之下。
- 按一下 SunOrgReferral_Desktop 旁的特性箭頭。
- 在資料窗格中按一下 [檢視] 功能表中的 [規則],然後按一下 [新增]。確定已選取 [Portal Desktop],並按一下 [下一步]。
- 指定 Portal Desktop 規則的名稱並按一下 [完成]。
- 在資料窗格中從 [檢視] 功能表按一下 [參照],並按一下 [新增]。確定已為資料窗格中的 [值] 選取子機構的名稱,並按一下 [建立] 以完成策略的配置。
- 為新機構建立一般 [Portal Desktop] 策略。
- 瀏覽至子機構。
- 從 [檢視] 功能表中選擇 [策略]。
該機構的策略會顯示。
- 在瀏覽窗格中選取 [新增]。[新策略] 的頁面會在資料窗格中開啟。
- 確定您在 [策略類型] 中選取 [一般]。
- 鍵入策略的名稱。
- 按一下 [確定]。
- 在資料窗格中選擇 [檢視] 功能表中的 [規則],然後按一下 [新增]。[新增規則] 頁面隨即會在資料窗格中開啟。
- 指定規則的名稱,並且在 [設定規則動作] 之下選取動作。按一下 [完成]。
- 在資料窗格中選擇 [檢視] 功能表中的 [主旨],然後按一下 [新增]。[新增主旨] 頁面隨即會在資料窗格中開啟。
- 選取 [Portal Desktop] 策略會套用的主旨,並選擇 [下一步] 以完成主旨配置。
- 按一下 [完成] 以完成策略的配置。
- 在新機構中建立新使用者。
- 啟用新機構的桌面服務。
- 存取新機構的桌面。
配置認證本節說明如何配置 Portal Server 認證。Access Manager 提供認證的架構。認證是透過驗證使用者身份的外掛程式模組來實施。Access Manager 提供七種不同的認證模組以及核心認證模組。Access Manager 管理主控台用於設定預設值、新增認證服務、建立機構的認證範本,與啟用服務。因為核心認證模組提供全面的認證配置,在您可配置任何特定的認證模組之前,必須先新增核心認證模組並為每個機構建立其範本。
備註
在此 Sun Java System Access Manager 版本中不支援 Sun ONE Identity Server 5.1 管理主控台提供的認證功能表配置功能。如果您需要配置有效認證模組的可選清單,請使用 Access Manager 管理主控台將每個認證模組設定為與認證層級屬性相同的值。如需配置認證模組的資訊,請參閱若要配置認證功能表。
安裝時,在預設的機構中已新增核心認證並建立其範本。此外,安裝也新增並建立下列認證模組的範本:
配置認證模組的高層級步驟如下:
依認證層級的認證
每個認證模組都能與其認證層級的整數值相關。按一下 [服務配置] 中認證模組的 [特性] 箭頭可以指定認證層級,而且變更模組 [認證層級] 屬性的對應值。一旦使用者已認證一或多個認證模組,越高的認證層級定義越高的使用者信任層級。
若要配置認證功能表
使用者可以用特定的認證層級存取認證模組。例如,使用者可以用具有下列語法的使用者身份執行登入:
http://hostname:port/deploy_uri/UI/Login?authlevel=auth_level_value
認證層級大於或等於 auth_level_value 的所有模組將會顯示為認證功能表讓使用者選擇。如果只找到一個符合的模組,該認證模組的登入頁面會直接顯示。
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,當您登入時,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至您要配置認證的機構或子機構。
使用瀏覽窗格中的 [檢視] 功能表
- 從 [檢視] 功能表選擇 [服務],並按一下 [新增]。
- 按一下 [核心] 旁的特性箭頭。
- 在 [機構] 區段的 [機構認證模組] 欄位中選取適當的認證模組以啟用。
依預設,Portal Server 安裝會啟用 LDAP 與成員身份。
- 為每個認證模組在 [預設認證層級] 中輸入值 (預設是 0)。
為了在認證功能表中出現,每個認證模組的值必須相同。
- 按一下 [儲存]。
若要配置認證順序
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,當您登入時,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至您要配置認證的機構或子機構。
使用瀏覽窗格中的 [檢視] 功能表
- 從 [檢視] 功能表選擇 [服務],並按一下 [新增]。
- 按一下 [核心] 旁的特性箭頭。
- 在 [機構] 區段的 [機構認證模組] 欄位中選取適當的認證模組以啟用。
依預設,Portal Server 安裝會啟用 LDAP 與成員身份。
- 為每個認證模組在 [預設認證層級] 中輸入值 (預設是 0)。
為了在認證功能表中出現,每個認證模組的值必須相同。
- 在 [機構認證配置] 中選取 [編輯] 以指定每個認證模組的屬性資訊。
- 按一下 [儲存]。
- 使用下列 URL 藉由登入管理伺服器來驗證認證功能表會出現適當的選項。
http://host:port/amserver/UI/login
如果這不是預設的機構,請使用下列 URL 驗證機構的認證功能表:
http://host:port/amserver/UI/login?org=org_name
若要配置 LDAP 認證至外部目錄
當您安裝 Portal Server 時,安裝程式會自動配置 LDAP 認證至目錄實例。安裝程式讓您在本機伺服器上安裝目錄的內部實例,並配置 LDAP 認證至該內部目錄或配置 LDAP 認證至預先存在的目錄外部實例。您一旦有初始配置,就會有您想要配置認證至外部 LDAP 目錄的某些分析藍本。例如,為了效能或安全性的原因,您可能想隔離特定機構的認證資訊到專屬 LDAP 伺服器上。
警告
請勿配置認證到包含 amadmin 使用者之機構的外部 LDAP 目錄。這能防止 amadmin 使用者認證並將您鎖定於管理主控台之外。如果您不慎配置了包含 amadmin 使用者的機構,則必須使用 amadmin 的完整 DN 登入,然後修正 LDAP 範本。amadmin DN 列於 AMConfig.properties 檔案中的 com.sun.authentication.super.user 屬性。
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至您要配置認證的機構或子機構。
使用瀏覽窗格中的 [檢視] 功能表。
- 從 [檢視] 功能表中選擇 [服務]。
- 從 [Access Manager 配置] 中按一下 [核心] 旁的特性箭頭。
- 從 [動態使用者設定檔] 功能表核取 [動態建立]。
- 從 [Access Manager 配置] 功能表中按一下 [LDAP] 旁的特性箭頭。
- 為您的伺服器設定適當的 LDAP 屬性。下列範例設定對連接埠 389 上 LDAP 伺服器 ds-sesta1.sesta.com 的存取與 ou=people,dc=sesta,dc=com 的搜尋起點,並使用超級使用者連結 cn=root,ou=people,dc=sesta,dc=com:
主要 LDAP 伺服器與連接埠:ds-sesta1.sesta.com:389
輔助 LDAP 伺服器與連接埠:ds-sesta1.sesta.com:389
啟動使用者搜尋的 DN:ou=people,dc=sesta,dc=com
超級使用者連結的 DN:cn=root,ou=people,dc=sesta,dc=com
超級使用者連結的密碼:root password
使用者命名屬性:uid
使用者項目搜尋屬性:employeenumber
使用者搜尋篩選器:空白
搜尋範圍:subtree
啟用 LDAP 伺服器的 SSL:off
傳回使用者 DN 至認證:off
認證層級:0- 按一下 [儲存]。
配置匿名認證
Portal Server 支援兩種實施匿名認證的方法:
為了支援匿名認證,Portal Server 安裝程式建立了 authlessanonymous 使用者帳戶,並在下列兩種「Portal Desktop」服務全域屬性中設定此使用者的存取:
Portal Server 能支援用下列方式同時配置 [非驗證式] 與匿名認證:
此時您在瀏覽器 A 中使用 [非驗證式] 模式而在瀏覽器 B 中使用匿名模式。
存取桌面出現兩種不同方式。一種 [非驗證式] 存取是透過直接參照至 /portal/dt,另一種 (匿名) 則是間接透過 /amserver/UI/login。
配置 Access Manager 在功能表中只有匿名登入,可以避免 [Access Manager 登入] 功能表。
因為當您存取 /portal/dt 而沒有 Access Manager 階段作業時,不能同時支援 [非驗證式] 存取與匿名認證,兩種情形只會發生其一:
您不需要停用匿名認證以使用 [非驗證式] 存取。但如果您要以上項目之一作業,則必須停用 [非驗證式] 存取模式。
若要配置匿名認證 (匿名使用者階段作業方法)
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至您要配置認證的機構或子機構。
所有已建立的機構會顯示在瀏覽窗格中。
- 選取位置窗格中的 [服務配置]。
- 按一下 [Portal Desktop] 服務旁的特性箭頭。
[Portal Desktop] 屬性隨即顯示在資料窗格中。
- 選取列於 [授權的無認證使用者 DN 與密碼] 屬性的值並按一下 [移除]。
- 選取列於 [預設的無認證使用者 DN] 屬性的值並按一下 [移除]。
- 按一下 [儲存]。
- 選擇位置窗格中的 [識別管理]。
- 從 [檢視] 功能表中選擇 [機構]。
所有已建立的機構會顯示在瀏覽窗格中。
- 瀏覽至您要配置認證的機構或子機構。
使用位置窗格中的 [檢視] 功能表。
- 從 [顯示] 功能表中選擇 [服務]。
- 新增與配置 [匿名] 服務。
- 將 [匿名] 新增至 [認證] 功能表。
如需詳細資訊,請參閱若要配置認證順序。
- 建立 anonymous 使用者帳戶。
如需詳細資訊,請參閱若要加入新使用者。
若要配置匿名認證 (非驗證式存取)
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 依預設,當您登入時,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
所有已建立的機構會顯示在瀏覽窗格中。
- 瀏覽至您要配置認證的機構或子機構。
使用瀏覽窗格中的 [檢視] 功能表。
- 使用密碼 authlessanonymous 建立 authlessanonymous 使用者帳戶。
如需詳細資訊,請參閱若要加入新使用者。
- 選取位置窗格中的 [服務配置]。
- 在瀏覽窗格中選取 [Portal Desktop]。
- 將 authlessanonymous 使用者的完全區別名稱新增至 [授權的無認證使用者 DN 與密碼] 屬性。例如:
uid=authlessanonymous, ou=People, dc=sesta, dc=com
- 在 [預設的無認證使用者 DN] 屬性中指定 authlessanonymous 使用者的完全區別名稱。
- 按一下 [儲存]。
您必須關閉與重新啟動您的瀏覽器,以使用新配置的 [非驗證式使用者 ID] 方法存取桌面。[非驗證式使用者 ID] 方法讓您指定查詢字串中使用者帳戶的 UID。非驗證式 UID 依預設是 [desktop.suid]。前置 [desktop] 由 desktopconfig.properties 檔案中的配置參數「cookiePrefix」控制。例如,若要從 sestat.com 預設機構中存取桌面,請使用下列 URL:
http://server:port/portal/dt?desktop.suid=uid=authlessanonymous, ou=People,dc=sesta,dc=com
為聯合使用者配置 Portal Server
Sun Java System Portal Server 軟體支援具有符合 Liberty Alliance 技術規定的聯合身份使用者。Liberty 單次登入的聯合使用者可以存取 Portal Server 的個人化桌面而不需要進一步認證。
如需更多 Liberty 啟用認證服務的資訊,請參閱「Sun Java System Access Manager 管理指南」。可以在下列位置找到使用 Portal Server 作為服務提供者的範例配置:
PortalServer-base/SUNWps/samples/liberty
若要配置聯合使用者
依預設,聯合使用者沒有權限存取作為服務提供者的 Sun Java System Portal Server。Portal Server 可以將聯合使用者作為:
若要為聯合使用者配置非驗證式存取
依預設,聯合使用者沒有權限存取非驗證式 Portal Desktop。
如需非驗證式存取的更多資訊,請參閱若要配置匿名認證 (非驗證式存取)。
若要配置 UNIX 認證
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 在 [識別管理] 中從 [檢視] 功能表選擇 [機構]。
所有已建立的機構會顯示在瀏覽窗格中。
- 選取位置窗格中的 [服務配置]。
- 在瀏覽窗格中按一下 UNIX 旁的特性箭頭 (在 [Access Manager 配置] 之下)。
- 為您的伺服器設定適當的 UNIX 屬性。
- 按一下 [儲存]。
- 瀏覽至您要配置認證的機構或子機構。
使用瀏覽窗格中的 [檢視] 功能表。
- 從 [檢視] 功能表中選擇 [服務]。
- 按一下瀏覽窗格中的 [新增]。
- 在資料窗格中按一下 [認證] 之下的 [核心]。
- 在資料窗格中從 [機構認證模組] 功能表中選取 [Unix]。
- 按一下 [儲存]。
若要配置機構層級的 UNIX 認證
若要配置 UNIX 認證中文件說明的 UNIX 認證是為全面配置 UNIX。此程序用於在機構層級配置。
- 在您的瀏覽器網址欄位輸入 http://fullservername:port/amconsole 以管理員身份 (amadmin) 登入 Sun Java System Access Manager 管理主控台。
- 在登入畫面輸入 amadmin 為使用者 ID 以及您在安裝時選擇的 passphrase。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 在 [識別管理] 中從 [檢視] 功能表選擇 [機構]。
所有已建立的機構會顯示在瀏覽窗格中。
- 從 [檢視] 功能表中選擇 [服務]。
- 選取 [新增]。
- 在右窗格核取 [UNIX]並按一下 [確定]。
- 選取 UNIX 旁的特性箭頭。
- 在 [建立服務範本 (Unix)] 窗格中選取 [是]。
- 為您的伺服器設定適當的 UNIX 屬性。
- 選取 [儲存]。
- 選取 [核心] 旁的特性箭頭。
- 反白顯示 [認證] 功能表的 [UNIX] 並選取 [儲存]。
Portal Server 如何使用策略管理的簡介本節說明如何使用 Access Manager 策略管理功能。如需建立、修改與刪除策略的程序,請參閱 Access Manager 文件。
Access Manager 策略服務能讓您定義規則或存取資源。政策能以角色或機構為基礎,而且能提供權限或定義限制。Portal Server 隨附三種策略:
- 執行 Portal Server Portal Desktop 的能力 - 讓使用者顯示桌面
- 執行 Portal Server NetMail 的能力 - 讓使用者執行 NetMail
備註
第 8 章「管理 Portal Desktop 服務」與第 11 章「管理NetMail服務」提供指定其特定策略的詳細描述。
依預設,[策略配置] 服務會自動新增於頂層機構。子機構必須獨立於其父系機構新增其策略服務。您建立的任何策略服務必須新增於所有機構。使用策略的高層級步驟為:
- 為機構新增 [策略] 服務。(此步驟會自動為安裝時指定的機構完成。) 子機構不會繼承其父系的服務,所以您必須新增子機構的 [策略] 服務。如需詳細資訊,請參閱若要新增服務。
- 為同等機構或子機構建立參照策略。您可以授權機構的策略定義與決定給其他機構。(或者,可以將資源的策略決策委託給其他策略產品。)參照策略控制策略建立與評估兩者的策略授權。它是由規則與參照本身組成。如果策略服務包含不需要資源的動作,則無法為子機構建立參照策略。如需詳細資訊,請參閱若要為同等機構或子機構建立參考策略。
- 為同等機構或子機構建立一般策略。您建立一般策略來定義存取權限。一般策略可由多個規則、物件與條件所組成。如需詳細資訊,請參閱若要為同等機構或子機構建立一般策略。
若要為同等機構或子機構新增策略服務
同等或子機構不會繼承其父系的服務,所以您必須新增同等或子機構的 [策略] 服務。
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至您要建立參照策略的機構或子機構。
所有已建立的機構會顯示在瀏覽窗格中。
- 在瀏覽窗格中從 [檢視] 功能表選取 [機構],並且從 [名稱] 功能表選取所需的機構。
- 從 [檢視] 功能表中選取 [服務]。
- 按一下 [新建]。
[新增服務] 頁面會出現在資料窗格中。按一下下列最少服務的核取方塊,然後按一下 [確定]。
- 按一下特性箭頭配置每個服務。按一下 [建立] 以修改配置屬性。如需非 Portal Server 配置特定的屬性描述,請參閱「Sun Java System Access Manager 管理指南」。
若要為同等機構或子機構建立參考策略
您可以授權機構的策略定義與決定給其他機構。參照策略控制策略建立與評估兩者的策略授權。它是由規則與參照本身組成。參照必須定義父系機構為規則中的資源,且必須包含 SubOrgReferral 或 PeerOrgReferral 與作為參照中值的機構名稱。
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至您要用於建立參照策略的機構或子機構。
所有已建立的機構會顯示在瀏覽窗格中。
- 從 [檢視] 功能表中選取 [策略]。
- 按一下 [新增] 以建立新策略。
[建立策略] 的頁面出現在資料窗格中。
- 名稱請輸入 SubOrgReferral_organization 或 PeerOrgReferral_organization。確定您在 [策略類型] 中選取 [參照]。然後按一下 [確定]。
- 在 [服務] 中選取服務類型並按一下 [下一步]。
- 在資料窗格中從 [檢視] 功能表按一下 [規則] 並按 [新增],然後按一下 [下一步]。
[新增規則] 範本會出現在資料窗格中。
- 在 [規則名稱] 中輸入規則的名稱,並按一下 [完成]。
- 按一下資料窗格中 [檢視] 功能表的 [參照],並按一下 [新增]。
[新增參照] 範本會出現在資料窗格中。
- 在名稱中輸入 SubOrgReferralName。
確定已為資料窗格中的 [值] 選取子機構的名稱,並按一下 [建立] 以完成策略的配置。
- 在資料窗格中按一下 [儲存]。
當資料已儲存時,會顯示訊息 [策略特性已儲存]。
若要為同等機構或子機構建立一般策略
您建立一般策略來定義存取權限。一般策略可由多個規則、物件與條件所組成。
- 以管理員的身份登入 Sun Java System Access Management Server 管理主控台。
依預設,位置窗格中的 [識別管理] 及 [瀏覽] 窗格中的 [機構] 皆已選取。
- 瀏覽至您要指定策略的機構或子機構。
所有已建立的機構會顯示在瀏覽窗格中。
- 從 [檢視] 功能表中選擇 [策略]。
該機構的策略會顯示。
- 在瀏覽窗格中選取 [新增]。[新策略] 的頁面會在資料窗格中開啟。
- 名稱請輸入 SubOrgNormal_organization 或 PeerOrgNormal_organization。確定您在 [策略類型] 中選取 [一般]。按一下 [確定]。
- 從 [服務] 功能表選取服務,並按一下 [下一步]。在 [規則名稱] 中輸入規則的名稱。確定已選取適當的核取方塊以授與執行權限給所需的服務。
- 在資料窗格中從 [檢視] 功能表選擇 [規則],並按一下 [新增]。[新增規則] 頁面會在資料窗格中開啟。
- 在資料窗格中從 [檢視] 功能表選擇 [主旨],並按一下 [新增]。[新增主旨] 的頁面會在資料窗格中開啟。
- 按一下 [完成] 以完成策略的配置。
當資料已儲存,會顯示訊息 [策略特性已儲存]。
登入 Portal Server 桌面若您已安裝範例入口網站,則使用者將能夠登入範例桌面。此外,Portal Server 支援其他各種使用者登入。本節描述使用者可以登入 Portal Server 的某些其他使用者方式。
若要登入範例 Portal Desktop
若要存取範例桌面,請輸入下列 URL:
http://server:port/portal/dt
若要登入子機構
如果使用者機構的存取權限,他們也能登入該機構內的子機構。例如,如果使用者能存取具有子機構 B 的機構 A,請輸入下列 URL 以登入子機構 B:
http://server:port/amserver/UI/login?org=B
若要使用匿名認證登入
備註
您必須新增匿名認證模組以支援匿名認證。如需新增與啟用匿名認證模組的資訊,請參閱配置匿名認證。
管理記錄Portal Server 使用 Access Manager 記錄 API 並進行除錯。
依預設,Portal Server 記錄與除錯檔案位於:
Access Manager 管理主控台允許您定義下列記錄屬性:
有關進一步資訊,請參閱「Sun Java System Access Manager 2005Q1 管理指南」。
