test

Sun Java System Access Manager 7.1 管理指南

用户界面登录 URL

在 Web 浏览器的“地址栏”中输入登录 URL 可访问“验证服务”用户界面。该 URL 是:

http://AccessManager-root/.domain_name:port /service_deploy_uri /UI/Login

注 –

在安装过程中,service_deploy_uri 被配置为 amserver。此默认服务部署 URI 将在本文档的全文中使用。

用户界面登录 URL 也可以附加登录 URL 参数来定义特定的验证方法或成功/失败的验证重定向 URL。

登录 URL 参数

URL 参数是附加在 URL 末尾的名称/值对。该参数以问号 (?) 开始,格式为 name=value。一个登录 URL 可以组合使用多个参数,如:

http://server_name.domain_name:port/amserver/UI/
Login?module=LDAP&locale=ja&goto=http://www.sun.com

如果存在多个参数,参数之间用 (&) 号分隔。但组合必须遵守以下原则:

以下各节描述各参数,这些参数在附加到“用户界面登录 URL”并键入 Web 浏览器的“地址栏”中时,可获取不同的验证功能。

注 –

为简化验证 URL 和参数以便在整个领域内分发,管理员可配置一个具备简单 URL 的 HTML 网页,该页面可链接到更复杂的登录 URL 以获取所有已配置的验证方法。

goto 参数

goto=successful_authentication_URL 参数覆写在“验证配置”服务的“登录成功 URL”中定义的值。当验证成功时,将链接到指定的 URL。goto=logout_URL 参数也可用于在用户注销时链接到指定的 URL。成功的验证 URL 示例如下:

http://server_name.domain_name:port/amserver/
UI/Login?goto=http://www.sun.com/homepage.html

goto 注销 URL 的示例如下:

http://server_name.domain_name:port/amserver/
UI/Logout?goto=http://www.sun.com/logout.html。
注 –

Access Manager 按优先顺序查找成功的验证重定向 URL。因为这些重定向 URL 及其顺序基于验证方法,所以此顺序(和相关信息)在“验证类型”部分中进行详细介绍。

gotoOnFail 参数

gotoOnFail=failed_authentication_URL 参数覆写在“验证配置”服务的“登录失败 URL”中定义的值。如果用户验证失败,将链接到指定的 URL。例如,gotoOnFail URL 可能是 http://server_name.domain_name:port/amserver/UI/Login?gotoOnFail=http://www.sun.com/auth_fail.html

注 –

Access Manager 按优先顺序查找失败的验证重定向 URL。因为这些重定向 URL 及其顺序基于验证方法,所以此顺序(和相关信息)在“验证类型”部分中进行详细介绍。

realm 参数

realm=realmName 参数允许用户作为指定领域中的用户进行验证。

注 –

尚未成为指定领域成员的用户如果试图使用 realm 参数进行验证,会收到一条错误消息。如果以下所有条件均为 TRUE,则可在 Directory Server 中动态创建用户概要文件:

使用此参数,将会显示正确的登录页面(基于领域及其语言环境设置)。如果未设置此参数,默认值是顶层领域。例如,realm URL 可以是:

http://server_name.domain_name:port/amserver/UI/Login?realm=sun

org 参数

org=orgName 参数可让用户作为指定组织中的用户进行验证。

注 –

尚未成为指定组织成员的用户如果试图使用 org 参数进行验证,会收到一条错误消息。如果以下所有条件均为 TRUE,则可在 Directory Server 中动态创建用户概要文件:

使用此参数,将会显示正确的登录页面(基于组织及其语言环境设置)。如果未设置此参数,默认值是顶层组织。例如,org URL 可以是:

http://server_name.domain_name:port/amserver/UI/Login?org=sun

user 参数

user=userName 参数强制使用在用户概要文件的“用户验证配置”属性中配置的模块进行验证。例如,可以将一个用户的概要文件配置为使用“认证”模块进行验证,同时可以将另一个用户配置为使用 LDAP 模块进行验证。添加此参数会将用户发送到其配置的验证进程,而非为其组织配置的方法。例如:

http://server_name.domain_name:port/amserver/UI/Login?user=jsmith

role 参数

role=roleName 参数会把用户发送到为指定的角色配置的验证过程。尚未成为指定角色成员的用户如果试图用此参数进行验证,会收到一条错误消息。例如:

http://server_name.domain_name:port/amserver/UI/Login?role=manager。

locale 参数

Access Manager 可为验证进程以及控制台本身显示本地化屏幕(翻译成英语以外的语言)。locale=localeName 参数指定的语言环境具有比其他任何已定义的语言环境更高的优先权。在以下位置按顺序搜索配置之后,客户机会显示登录语言环境:

  1. 登录 URL 中的 locale 参数值

    locale=localeName 参数的值的优先级高于所有其他定义的语言环境。

  2. 用户概要文件中定义的语言环境

    如果没有 URL 参数,则根据用户概要文件中“用户首选语言”属性的设置值显示语言环境。

  3. HTTP 标题中定义的语言环境

    此语言环境由 Web 浏览器设置。

  4. “核心验证服务”中定义的语言环境

    这是“核心验证”模块中“默认验证语言环境”属性的值。

  5. “平台”服务中定义的语言环境

    这是“平台”服务中“平台语言环境”属性的值。

操作系统语言环境

从此等级顺序得到的语言环境存储在用户的会话令牌中,Access Manager 只使用它来加载本地化验证模块。在成功验证之后,将使用用户概要文件中的“用户首选语言”属性定义的语言环境。如果没有设置,将继续使用验证所用的语言环境。例如:


http://server_name.domain_name:port/amserver/UI/Login?locale=ja。
注 –

有关如何本地化屏幕文本和错误消息的信息可以在 Access Manager 中找到。

module 参数

module=moduleName 参数允许通过指定验证模块进行验证。可以指定任何模块,但它们必须首先在用户所属领域下注册并作为“核心验证”模块中该领域的验证模块之一被选定。例如:

http://server_name.domain_name:port/amserver/UI/Login?module=Unix。
注 –

验证模块名称用在 URL 参数中时区分大小写。

service 参数

service=serviceName 参数允许用户通过服务的已配置验证方案进行验证。使用“验证配置”服务可以为不同的服务配置不同的验证方案。例如,联机薪金应用程序可能需要使用更安全的“证书验证”模块进行验证,而领域的员工目录应用程序可能只需要“LDAP 验证”模块。可以为这些服务中的每一个配置并命名验证方案。例如:

http://server_name.domain_name:port/amserver/UI/Login?service=sv1。
注 –

“验证配置”服务用来为基于服务的验证定义方案。

arg 参数

arg=newsession 参数用于终止用户的当前会话并开始一个新会话。“验证服务”将通过一个请求销毁用户的现有会话令牌并执行新的登录。此选项通常用于“匿名验证”模块。用户首先使用匿名会话进行验证,然后单击注册或登录链接。例如:

http://server_name.domain_name:port/amserver/UI/Login?arg=newsession。

authlevel 参数

authlevel=value 参数告知“验证服务”调用验证级别等于或大于指定验证级别值的模块。每个验证模块都定义了一个固定整数的验证级别。例如:

http://server_name.domain_name:port/amserver/UI/Login?authlevel=1.
注 –

“验证级别”设置在特定于每个模块的配置文件中。

domain 参数

此参数允许用户登录到标识为指定域的领域。指定域必须与领域配置文件的“域名”属性中定义的值相匹配。例如:

http://server_name.domain_name:port/amserver/UI/Login?domain=sun.com.
注 –

尚未成为指定域/领域成员的用户如果试图使用 domain 参数进行验证,会收到一条错误消息。如果以下所有条件均为 TRUE,则可在 Directory Server 中动态创建用户概要文件:

iPSPCookie 参数

iPSPCookie=yes 参数允许用户以一个持久 cookie 登录。当浏览器窗口关闭以后,持久 cookie 继续存在。要使用此参数,用户所登录的领域必须在其“核心验证”模块中启用“持久 Cookie”。一旦用户进行验证并关闭浏览器,用户可以使用新的浏览器会话登录并定向至控制台而无需重新验证。这将一直有效,直到经过“核心服务”中指定的“持久 Cookie 最长时间”属性值为止。例如:

http://server_name.domain_name:port/amserver/UI/Login?org=example&iPSPCookie=yes

IDTokenN 参数

此参数选项允许用户以 URL 或 HTML 表单传送验证证书。用户可使用 IDTokenN=value 参数通过验证,而无需访问“验证服务用户界面”。此进程称为零页面登录。零页面登录仅适用于使用一个登录页面的验证模块。IDToken0, IDToken1, ..., IDTokenN 的值映射到验证模块登录页面上的字段。例如,LDAP 验证模块可能将 IDToken1 用于 userID 信息,将 IDToken2 用于密码信息。 在这种情况下,LDAP 模块 IDTokenN URL 是:

http://server_name.domain_name:port/amserver/UI/
Login?module=LDAP&IDToken1=userID&IDToken2=password

(如果 LDAP 是默认的验证模块,则可以省略 module=LDAP。)

对于匿名验证,登录 URL 参数是:

http://server_name.domain_name:port/amserver/UI/Login?module=Anonymous&IDToken1=anonymousUserID。
注 –

仍支持令牌名称 Login.Token0Login.Token1 ... Login.TokenN(来自先前的版本),但在以后的版本中将不再支持。建议使用新的 IDTokenN 参数。