验证类型

“验证服务”提供了几种不同的验证方法。可通过指定登录 URL 参数或通过验证 API 来使用这些不同的验证方法（有关详细信息，请参见开发者指南中《Sun Java System Access Manager 7.1 Developer’s Guide》中的第 2  章 “Using Authentication APIs and SPIs”）。在能够配置验证模块之前，必须先修改核心验证服务属性“领域验证模块”以包含特定的验证模块名称。

验证配置服务用于定义以下任一验证类型的验证模块：

• 基于领域的验证

• 基于组织的验证

• 基于角色的验证

• 基于服务的验证

• 基于用户的验证

• 基于验证级别的验证

• 基于模块的验证

为其中一种验证类型定义了验证模块后，可以基于成功的或失败的验证进程配置该模块以提供重定向 URL 以及后处理 Java 类规范。

验证类型如何确定访问

对于每种方法，用户验证都可能通过或失败。一旦确定，每种方法都遵守这一过程。步骤 1 到步骤 3 接着成功的验证执行；步骤 4 接着成功和失败的验证执行。

1. Access Manager 确认验证的用户是否在 Directory Server 数据存储库中定义，以及配置文件是否处于活动状态。

   “核心验证”模块中的“用户概要文件”属性可以定义为必需、动态、随用户别名动态变换或忽略。在成功的验证之后，Access Manager 确认是否在 Directory Server 数据存储库中定义了验证的用户，并且如果“用户概要文件”值为必需，则确认用户概要文件是否处于活动状态。（这是默认情况。）如果“用户概要文件”是动态配置，“验证服务”将在 Directory Server 数据存储库中创建用户概要文件。如果“用户概要文件”被设置成忽略，将不进行用户验证。

2. 完成验证后期处理 SPI 的执行。

   “核心验证模块”包含一个“验证后期处理类”属性，该属性可以把验证后期处理类的名称作为自己的值。AMPostAuthProcessInterface 是后期处理接口。它可以在验证成功、验证失败或注销时执行。

3. 以下属性会被添加或更新到会话令牌中，并且用户会话会被激活。

   realm。这是用户所属领域的 DN。

   Principal。这是用户的 DN。

   Principals。这是用户已经验证的名称的列表。（此属性可以有多个值，各值之间以管道符分隔。）

   UserId。这是模块返回的用户 DN，如果是“LDAP”或“成员资格”以外的模块，则为用户名。（所有的“主体”必须映射到同一用户。用户 ID 是它们映射到的用户 DN。）

   ---

   注 –

   该属性可能是一个非 DN 值。

   ---

   UserToken。这是一个用户名。（所有的“主体”必须映射到同一用户。UserToken 是它们映射到的用户名。）

   Host。这是客户机的主机名或 IP 地址。

   authLevel。这是用户已经验证的最高级别。

   AuthType。这是已对用户进行验证的验证模块的列表，各项之间以管道符分隔（例如 module1|module2|module3）。

   clientType。这是客户机浏览器的设备类型。

   Locale。这是客户机的语言环境。

   CharSet。这是为客户机确定的字符集。

   Role。仅适用于基于角色的验证，这是用户所属的角色。

   Service。仅适用于基于服务的验证，这是用户所属的服务。

4. 验证成功或失败后，会在该 URL 中查找信息，以重定向用户。

   URL 重定向的位置可以是 Access Manager 页面或 URL。重定向取决于优先顺序，Access Manager 会根据验证方法以及验证的成败，由此优先顺序寻找重定向。此顺序在以下验证方法章节的 URL 重定向部分有详细描述。

URL 重定向

在验证配置服务中，您可以指定成功或不成功验证的 URL 重定向。而 URL 本身是在该服务的“登录成功 URL”和“登录失败 URL”属性中进行定义的。为了启用 URL 重定向，必须将“验证配置”服务添加到您的领域中，以便可以为角色、领域或用户进行配置。添加“验证配置”服务时，请确保添加一个验证模块，例如 LDAP - REQUIRED。

基于领域的验证

此验证方法允许用户向领域或子领域进行验证。这是 Access Manager 的默认验证方法。通过把“核心验证”模块注册到领域，并定义“领域验证配置”属性，可以设置领域的验证方法。

基于领域的验证登录 URL

通过在“用户界面登录 URL”中定义 realm 参数或 domain 参数可以指定验证的领域。验证请求的领域由下列项目按优先级确定：

1. domain 参数。

2. realm 参数。

3. “管理”服务中的 DNS 别名属性的值。

   在调用正确的领域后，可以通过“核心验证服务”中的“领域验证配置”属性获取将验证用户的验证模块。用于指定和启动基于领域的验证的登录 URL 是：

   http://server_name.domain_name:port/amserver/UI/Login http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name

   如果没有定义参数，将由登录 URL 中指定的服务器主机和域确定领域。

---

注 –

如果用户是特定领域的成员并且验证到该特定领域，然后又尝试验证至不同领域，则只会传送 realm 和 module 这两个参数。例如，如果 User1 是 realmA 的成员并且验证到该领域，然后又尝试切换或验证到 realmB，则用户将收到一个警告页面，要求用户使用为 realmB 指定的模块实例启动到 realmB 的新验证，或返回 realmA 中现有的验证会话。如果选择验证到 realmB，则只会传送和使用领域名称和模块名称（如果指定）来确定新的验证过程。

---

基于领域的验证重定向 URL

在基于组织的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于领域的验证重定向 URL

成功的基于领域的验证重定向 URL 通过按优先顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. goto 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

5. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-success-url 属性设置的作为全局默认值的 URL。

7. 用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性中设置的 URL。

8. 用户角色条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

9. 用户领域条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

10. iplanet-am-auth-login-success-url 属性中设置的作为全局默认值的 URL。

失败的基于领域的验证重定向 URL

失败的基于领域的验证重定向 URL 通过按下列顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. gotoOnFail 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

5. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-failure-ur 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

7. 为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

8. 为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

9. 为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

10. 为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

配置基于领域的验证

要为领域设置验证模块，先为领域添加“核心验证”服务。

配置领域的验证属性

1. 找到要为其添加“验证链”的领域。

2. 单击“验证”选项卡。

3. 选择“默认验证链”。

4. 从下拉菜单中选择“管理员验证链”。如果需要将管理员的验证模块与最终用户的验证模块区别开来，则可以使用该属性。默认验证模块为 LDAP。

5. 定义验证链之后，单击“保存”。

基于组织的验证

此验证类型只适用于在“传统”模式下安装的 Access Manager 部署。

此验证方法允许用户向组织或子组织进行验证。这是 Access Manager 的默认验证方法。通过把“核心验证”模块注册到组织，并定义“组织验证配置”属性，可以设置组织的验证方法。

基于组织的验证登录 URL

通过在“用户界面登录 URL”中定义 org 参数或 domain 参数可以指定验证的组织。验证请求的组织由下列项目按优先级确定：

1. domain 参数。

2. org 参数。

3. “管理服务”中的 DNS 别名（组织别名）属性值。

   在调用正确的组织后，可以通过“核心验证服务”中的“组织验证配置”属性获取将验证用户的验证模块。用于指定和启动基于组织的验证的登录 URL 是：

   http://server_name.domain_name:port/amserver/UI/Login http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name http://server_name.domain_name:port/amserver/UI/Login?org=org_name

   如果没有定义参数，将由服务器主机和登录 URL 指定的域确定组织。

---

注 –

如果用户是特定组织的成员并且验证到该特定组织，然后又尝试验证至不同组织，则只会传送 org 和 module 这两个参数。例如，如果 User1 是 orgA 的成员并且验证到该领域，然后又尝试切换或验证到 orgB，则用户将收到一个警告页面，要求用户使用为 orgB 指定的模块实例启动到 orgB 的新验证，或返回 orgA 中现有的验证会话。如果选择验证到 orgB，则只会传送和使用组织名称和模块名称（如果指定）来确定新的验证过程。

---

基于组织的验证重定向 URL

在基于组织的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于组织的验证重定向 URL

成功的基于组织的验证重定向 URL 通过按优先顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. goto 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

5. clientType 自定义文件中为用户组织条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-success-url 属性设置的作为全局默认值的 URL。

7. 用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性中设置的 URL。

8. 用户角色条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

9. 用户组织条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

10. iplanet-am-auth-login-success-url 属性中设置的作为全局默认值的 URL。

失败的基于组织的验证重定向 URL

失败的基于组织的验证重定向 URL 通过按以下顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. gotoOnFail 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

5. clientType 自定义文件中为用户组织条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

7. 为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

8. 为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

9. 为用户组织条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

10. 为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

配置基于组织的验证

要为组织设置验证模块，先为组织添加“核心验证”服务。

配置组织的验证属性

1. 找到要为其添加“验证链”的组织。

2. 单击“验证”选项卡。

3. 选择“默认验证链”。

4. 从下拉菜单中选择“管理员验证链”。如果需要将管理员的验证模块与最终用户的验证模块区别开来，则可以使用该属性。默认验证模块为 LDAP。

5. 定义验证链之后，单击“保存”。

基于角色的验证

此验证方法允许用户向领域或子领域内的角色（静态或过滤）进行验证。

---

注 –

“验证配置服务”在作为实例注册到角色以前，必须首先注册到领域。

---

验证要想成功，用户必须属于该角色，并且必须向为该角色配置的“验证配置服”实例中定义的每个模块进行验证。每个基于角色验证的实例均可指定下列属性：

冲突解决级别。此属性为可能包含相同用户的两个不同角色定义的“验证配置服务”实例设置优先级级别。例如，如果 User1 同时分配给 Role1 和 Role2，则可以为 Role1 设置较高的冲突解决级别。这样，当用户试图进行验证时，Role1 将优先进行成功或失败重定向以及验证后期处理。

验证配置。此属性定义为角色验证过程配置的验证模块。

登录成功 URL。此属性定义在验证成功后用户被重定向到的 URL。

登录失败 URL。此属性定义在验证失败后用户被重定向到的 URL。

验证后期处理类。此属性定义验证后期界面。

基于角色的验证登录 URL

通过定义 role 参数，可以在“用户界面登录 URL”中指定基于角色的验证。在调用正确的角色后，可以通过为角色定义的“验证配置服务”实例获取将要验证用户的验证模块。

用于指定和启动基于角色的验证的登录 URL 是：

http://server_name.domain_name:port/amserver/UI/Login?role=role_name
http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&role=role_name

如果没有配置 realm 参数，将通过在登录 URL 中指定的服务器主机和域来确定角色所属的领域。

基于角色的验证重定向 URL

在基于角色的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于角色的验证重定向 URL

成功的基于角色的验证重定向 URL 通过按以下顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. goto 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性设置的 URL。

4. clientType 自定义文件中为用户已验证的角色的 iplanet-am-auth-login-success-url 属性设置的 URL。

5. clientType 自定义文件中为已验证用户的另一个角色条目的 iplanet-am-auth-login-success-url 属性设置的 URL。（如果以前的重定向 URL 失败，此选项是一个替代方法。）

6. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

7. clientType 自定义文件中为 iplanet-am-auth-login-success-url 属性设置的作为全局默认值的 URL。

8. 用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性中设置的 URL。

9. 用户已验证角色的 iplanet-am-auth-login-success-url 属性中设置的 URL。

10. 已验证用户的另一个角色条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。（如果以前的重定向 URL 失败，此选项是一个替代方法。）

11. 用户领域条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

12. iplanet-am-auth-login-success-url 属性中设置的作为全局默认值的 URL。

失败的基于角色的验证重定向 URL

失败的基于角色的验证重定向 URL 通过按以下顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. goto 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户概要文件 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

4. clientType 自定义文件中为用户已验证的角色的 iplanet-am-auth-login-failure-url 属性设置的 URL。

5. clientType 自定义文件中为已验证用户的另一个角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。（如果以前的重定向 URL 失败，此选项是一个替代方法。）

6. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

7. clientType 自定义文件中为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

8. 用户概要文件 (amUser.xml) 的 iplanet-am-user-failure-url 属性中设置的 URL。

9. 用户已验证角色的 iplanet-am-auth-login-failure-url 属性中设置的 URL。

10. 已验证用户的另一个角色的 iplanet-am-auth-login-failure-url 属性中设置的 URL。（如果以前的重定向 URL 失败，此选项是一个替代方法。）

11. 用户领域条目的 iplanet-am-auth-login-failure-url 属性中设置的 URL。

12. iplanet-am-auth-login-failure-url 属性中设置的作为全局默认值的 URL。

配置基于角色的验证

1. 找到要添加验证配置服务的领域（或组织）。

2. 单击“主题”选项卡。

3. “过滤的角色”或“角色”。

4. 选择要为其设置验证配置的角色。

5. 选择要启用的“默认验证链”。

6. 单击“保存”。

   ---

   注 –

   如果要创建新角色，验证配置服务将不会自动指定给该角色。请确保在创建新角色之前先选择“角色配置文件”页面顶部的“验证配置”服务选项。

   如果启用了基于角色的验证，可以将 LDAP 验证模块保留为默认设置，因为不需要配置成员资格。

   ---

基于服务的验证

此验证方法允许用户向在领域或子领域中注册的特定服务或应用程序进行验证。服务在“验证配置服务”内配置成“服务实例”，并且与“实例名称”关联。验证要想成功，用户必须向为服务配置的“验证配置”服务实例中定义的每个模块进行验证。每个基于服务验证的实例均可指定下列属性：

验证配置。此属性定义为服务验证进程配置的验证模块。

登录成功 URL。此属性定义在验证成功后用户被重定向到的 URL。

登录失败 URL。此属性定义在验证失败后用户被重定向到的 URL。

验证后期处理类。此属性定义验证后期界面。

基于服务的验证登录 URL

通过定义 service 参数，可以在“用户界面登录 URL”中指定基于服务的验证。在调用服务后，可以通过为服务定义的“验证配置”服务实例获取将要验证用户的验证模块。

用来指定和启动基于服务的验证的登录 URL 是：

http://server_name.domain_name:port/amserver/UI/
Login?service=auth-chain-name

和

http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&service=auth-chain-name

如果没有配置 realm 参数，将通过在登录 URL 中指定的服务器主机和域来确定用户所属的领域。

基于服务的验证重定向 URL

在基于服务的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于服务的验证重定向 URL

成功的基于服务的验证重定向 URL 通过按以下顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. goto 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性设置的 URL。

4. clientType 自定义文件中为用户已验证服务的 iplanet-am-auth-login-success-url 属性设置的 URL。

5. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

6. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

7. clientType 自定义文件中为 iplanet-am-auth-login-success-url 属性设置的作为全局默认值的 URL。

8. 用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性中设置的 URL。

9. 用户已验证服务的 iplanet-am-auth-login-success-url 属性中设置的 URL。

10. 用户角色条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

11. 用户领域条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

12. iplanet-am-auth-login-success-url 属性中设置的作为全局默认值的 URL。

失败的基于服务的验证的重定向 URL

失败的基于服务的验证重定向 URL 通过按以下顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. goto 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户概要文件 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

4. clientType 自定义文件中为用户已验证服务的 iplanet-am-auth-login-failure-url 属性设置的 URL。

5. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

6. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

7. clientType 自定义文件中为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

8. 用户概要文件 (amUser.xml) 的 iplanet-am-user-failure-url 属性中设置的 URL。

9. 用户已验证服务的 iplanet-am-auth-login-failure-url 属性中设置的 URL。

10. 用户角色条目的 iplanet-am-auth-login-failure-url 属性中设置的 URL。

11. 用户领域条目的 iplanet-am-auth-login-failure-url 属性中设置的 URL。

12. iplanet-am-auth-login-failure-url 属性中设置的作为全局默认值的 URL。

配置基于服务的验证

服务的验证模块是在添加了“验证配置”服务之后设置的。为此，请执行以下步骤：

1. 选择要配置基于服务的验证的领域。

2. 单击“验证”选项卡。

3. 创建验证模块实例。

4. 创建验证链。

5. 单击“保存”。

6. 要访问领域的基于服务的验证，请输入以下地址：

   http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&service=auth-chain-name

基于用户的验证

此验证方法允许用户向专门为其配置的验证进程进行验证。这个过程被配置成用户概要文件中的“用户验证配置”属性值。验证要想成功，用户必须向定义的每个模块验证。

基于用户的验证登录 URL

通过定义 user 参数，可以在“用户界面登录 URL”中指定基于用户的验证。在调用正确的用户后，可以通过为用户定义的“用户验证配置”实例获取将要验证用户的验证模块。

用于指定和启动基于角色的验证的登录 URL 是：

http://server_name.domain_name:port/amserver/UI/Login?user=user_name
http://server_name.domain_name:port/amserver/UI/Login?org=org_name&user=user_name

如果没有配置 realm 参数，将通过登录 URL 中指定的服务器主机和域来确定角色所属的领域。

用户别名列表属性

在收到基于用户的验证请求时，“验证”服务会先验证用户是否为有效的用户，然后为其检索“验证配置”数据。如果有多个与用户登录 URL 参数值关联的有效用户概要文件，则所有配置文件都必须映射到指定的用户。可以在用户概要文件的“用户别名属性” (iplanet-am-user-alias-list) 中指定属于该用户的其他概要文件。如果映射失败，将拒绝该用户进行有效的会话。例外情况是，如果用户之一是顶级管理员，则不进行用户映射验证，并且用户被授予顶级管理员权限。

基于用户的验证重定向 URL

在基于模块的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于用户的验证重定向 URL

成功的基于用户的验证重定向 URL 通过按优先顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. goto 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

5. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-success-url 属性设置的作为全局默认值的 URL。

7. 用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性中设置的 URL。

8. 用户角色条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

9. 用户领域条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

10. iplanet-am-auth-login-success-url 属性中设置的作为全局默认值的 URL。

失败的基于用户的重定向 URL

失败的基于用户的验证重定向 URL 通过按以下顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. gotoOnFail 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

5. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

7. 为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

8. 为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

9. 为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

10. 为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

配置基于用户的验证

1. 找到要在其中为用户配置验证的领域。

2. 单击“主题”选项卡，然后单击“用户”。

3. 单击要修改的用户的名称

   将显示“用户概要文件”。

   ---

   注 –

   如果要创建新用户，验证配置服务将不会自动指定给该用户。请确保在创建用户之前先选择服务配置文件中的“验证配置”服务选项。如果未选择此选项，用户将不会继承为角色定义的验证配置。

   ---

4. 在“用户验证配置”属性中，选择您想要使用的验证链。

5. 单击“保存”。

基于验证级别的验证

每个验证模块均可以与其验证级别的整数值相关联。更改模块的“验证级别”属性相应的值，可以指定验证级别。用户一个或多个验证模块的验证后，验证级别越高，则用户的信任级别就越高。

用户成功地通过模块的验证之后，系统将在用户的 SSO 令牌中设置验证级别。如果用户需要通过多个验证模块的验证并且成功地通过了这些验证，系统将在用户的 SSO 令牌中设置其中最高的验证级别值。

如果用户试图访问某个服务，该服务可以通过查看用户的 SSO 令牌中的验证级别来确定是否允许该用户进行访问。随后服务将用户重定向，使用户以设定的验证级别通过验证模块。

用户还可以访问具有特定验证级别的验证模块。例如，用户使用以下语法进行登录：

http://hostname:port/deploy_URI/UI/Login?authlevel=
auth_level_value

所有验证级别高于或等于 auth_level_value 的模块将显示为验证菜单以供用户选择。如果只找到了一个匹配的模块，则会直接显示该验证模块的登录页。

此验证方法可让管理员指定验证身份的模块的安全级别。每个验证模块都有单独的“验证级别”属性，此属性的值可以定义为任何有效的整数。利用基于“验证级别”的验证，“验证服务”会显示一个模块登录页面，其中有一个菜单，包含验证级别等于或大于登录 URL 参数所指定的值的验证模块。用户可以从提供的列表中选择模块。在用户选择模块之后，剩余的进程取决于基于模块的验证。

基于验证级别的验证登录 URL

通过定义 authlevel 参数，可以在“用户界面登录 URL”中指定基于验证级别的验证。在调用含有相关模块列表的登录屏幕之后，用户必须选择一个用于验证的模块。用于指定和启动基于验证级别的验证的登录 URL 是：

http://server_name.domain_name:port/amserver/UI/Login?authlevel=authentication_level

和

http://server_name.domain_name:port/amserver/UI/
Login?realm=realm_name&authlevel=authentication_level

如果没有配置 realm 参数，将通过登录 URL 中指定的服务器主机和域来确定用户所属的领域。

基于验证级别的验证重定向 URL

在基于验证级别的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于验证级别的验证重定向 URL

成功的基于验证级别的验证重定向 URL 通过按优先顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. goto 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

5. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-success-url 属性设置的作为全局默认值的 URL。

7. 用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性中设置的 URL。

8. 用户角色条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

9. 用户领域条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

10. iplanet-am-auth-login-success-url 属性中设置的作为全局默认值的 URL。

失败的基于验证级别的验证重定向 URL

失败的基于验证级别的验证重定向 URL 通过按以下顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. gotoOnFail 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

5. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

7. 为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

8. 为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

9. 为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

10. 为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

基于模块的验证

用户可以使用以下语法访问特定的验证模块：

http://hostname:port/deploy_URI/UI/Login?module=
module_name

在能够访问验证模块之前，必须先修改核心验证服务属性“领域验证模块”以包含该验证模块名称。如果此属性中不包含该验证模块名称，则当用户尝试进行验证时，将会显示“验证模块被拒绝”页面。

此验证方法允许用户指定用来进行验证的模块。指定的模块必须向用户正在访问的领域或子领域注册。这是在领域的“核心验证服务”的“领域验证模块”属性中进行配置的。在收到基于模块的验证请求时，“验证服务”会验证模块是否按要求正确配置，如果该模块未定义，将拒绝用户访问。

基于模块的验证登录 URL

通过定义 module 参数，可以在“用户界面登录 URL”中指定基于模块的验证。用来指定和启动基于模块的验证的登录 URL 是：

http://server_name.domain_name:port/amserver/UI/Login?module=authentication_module_name
http://server_name.domain_name:port/amserver/UI/
Login?org=org_name&module=authentication_module_name

如果没有配置 realm 参数，将通过登录 URL 中指定的服务器主机和域来确定用户所属的领域。

基于模块的验证重定向 URL

在基于模块的验证成功或失败后，Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于模块的验证重定向 URL

成功的基于模块的验证重定向 URL 通过按优先顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. goto 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

5. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-success-url 属性设置的作为全局默认值的 URL。

7. 用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性中设置的 URL。

8. 用户角色条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

9. 用户领域条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

10. iplanet-am-auth-login-success-url 属性中设置的作为全局默认值的 URL。

失败的基于模块的验证重定向 URL

失败的基于模块的验证重定向 URL 通过按以下顺序检查以下位置来确定：

1. 验证模块设置的 URL。

2. gotoOnFail 登录 URL 参数设置的 URL。

3. clientType 自定义文件中为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

5. clientType 自定义文件中为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

6. clientType 自定义文件中为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

7. 为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

8. 为用户领域条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

9. 为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。