第 6 章 管理主题

“主题”界面启用领域中的基本身份管理。任何在“主题”界面中创建的身份都能在策略（以“Access Manager 身份主题”类型创建的策略）的主题定义中使用。

您可以创建和修改的身份包括：

• 用户

• 代理配置文件

• 过滤的角色

• 角色

• 组

用户

用户代表个体身份。可以在组中创建和删除用户，也可以在角色和/或组中添加或删除用户。还可以将服务指定给用户。

创建或修改用户

1. 单击“用户”选项卡。

2. 单击“新建”。

3. 为以下字段输入数据：

   用户 ID。此字段中应填入用户用来登录到 Access Manager 的名称。此属性可以是一个非 DN 值。

   名字。此字段中应填入用户的名字。

   姓氏。此字段中应填入用户的姓氏。

   全名 — 此字段中应填入用户的全名。

   密码— 此字段中应填入“用户 ID”字段中所指定名称的密码。

   密码（确认）— 确认密码。

   用户状态。此选项指示是否允许用户通过 Access Manager 进行验证。

4. 单击“创建”。

5. 创建用户之后，您可以单击用户的名称来编辑用户信息。有关用户属性的信息，参见“用户”属性。您可以进行的其他修改包括：

   • 创建或修改用户

   • 向角色和组添加用户

   • 向身份添加服务

向角色和组添加用户

1. 单击所要修改的用户的名称。

2. 选择角色或组。仅显示已指定给用户的那些角色和组。

3. 从“可用”列表中选择角色或组，然后单击“添加”。

4. 当“选定”列表中显示所选的角色或组时，单击“保存”。

向身份添加服务

1. 选择您要添加服务的身份。

2. 单击“服务”选项卡。

3. 单击“添加”。

4. 根据您选择的身份类型，将显示以下服务列表：

   • 验证配置

   • 搜索服务

   • Liberty 个人配置文件服务

   • 会话

   • 用户

5. 选择您要添加的服务，然后单击“下一步”。

6. 编辑服务的属性。有关服务的说明，请单击步骤 4 中服务的名称。

7. 单击“完成”。

代理配置文件

Access Manager 策略代理对 Web 服务器和 Web 代理服务器上的内容提供保护以防止未授权的侵入。它们基于管理员配置的策略来控制对服务和 Web 资源的访问。

代理对象定义了“策略代理”配置文件，并允许 Access Manager 存储与保护 Access Manager 资源的特定代理有关的验证及其他配置文件信息。通过 Access Manager 控制台，管理员可以查看、创建、修改和删除代理配置文件。

可以在代理对象创建页面定义代理用于通过 Access Manager 进行验证的 UID/密码。如果有多个使用相同 Access Manager 设置的 Web 容器，您可以选择为不同的代理启用多个 ID 并且可以从 Access Manager 单独将其启用和禁用。您也可以集中管理代理的一些首选项值，而不必在每台计算机上都编辑 AMAgent.properties。

创建或修改代理

1. 单击“代理”选项卡。

2. 单击“新建”。

3. 输入以下字段的值：

   名称。输入代理的名称或身份。此名称是代理用来登录的名称。不接受多字节用户名称。

   密码。输入代理的密码。此密码必须与在 LDAP 验证过程中代理所使用的密码不同。

   确认密码。确认密码。

   设备状态。输入代理的设备状态。如果设置为“活动”，则代理可以通过进行验证并与 Access Manager 进行通信。如果设置为“不活动”，则代理不能通过 Access Manager 进行验证。

4. 单击“创建”。

5. 创建代理之后，您可以另外编辑以下字段：

   说明。输入代理的简短说明。例如，可以输入代理实例名称或其保护的应用程序的名称。

   代理关键字值。使用关键字/值对设置代理属性。Access Manager 使用此属性接收有关用户的证书声明的代理请求。当前仅一个属性有效，所有其他属性都将被忽略。请使用以下格式：

   agentRootURL=protocol:// hostname:port/

   条目必须准确，而且 agentRootURL 区分大小写。

   protocol

   代表所使用的协议，即 HTTP 或 HTTPS。

   hostname

   代表代理所驻留的计算机的主机名。此计算机也托管由代理保护的资源。

   port

   代表安装代理的端口号。代理侦听此端口上的接收通信，并拦截所有要访问主机资源的请求。

配置 Access Manager 以防止 Cookie 劫持

Cookie 劫持就是指冒名顶替者（可能是使用不可信应用程序的黑客）对 cookie 进行未授权的访问 。如果被劫持的 cookie 是会话 cookie，则根据系统的配置方式，cookie 劫持可能增加对受保护 Web 资源的未授权访问威胁。

Sun 文档提供标题为“Precautions Against Session-Cookie Hijacking in an Access Management Deployment”（在访问管理部署中防止会话 Cookie 劫持的预防措施）的技术说明，该说明介绍要对抗与会话 cookie 劫持相关的特定安全威胁可采取的预防措施参见以下文档：

《Technical Note: Precautions Against Cookie Hijacking in an Access Manager Deployment》

过滤的角色

过滤的角色是用 LDAP 过滤器创建的动态角色。在创建角色时，会通过过滤器过滤所有用户并为其指定该角色。 过滤器会查找条目中的所有属性值对（例如，ca=user*），并自动将包含该属性的用户指定给角色。

创建过滤的角色

1. 在“浏览”窗格中，找到要在其中创建角色的组织。

2. 单击“新建”。

3. 输入过滤的角色的名称。

4. 输入搜索条件信息。

   例如，

   (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

   如果过滤器保留为空，将默认创建以下角色：

   (objectclass = inetorgperson)

5. 单击“创建”以基于过滤条件启动搜索。由过滤条件定义的身份将会自动指定给角色。

6. 创建过滤的角色后，单击角色的名称可查看属于该角色的“用户”。此外，还可以通过单击“服务”选项卡将服务添加到角色。

角色

角色的成员是指拥有该角色的 LDAP 条目。角色本身的条件被定义为具有属性的 LDAP 条目，由条目的标识名 (Distinguished Name, DN) 属性来标识。创建角色之后，请手动添加服务和用户。

创建或修改角色

1. 单击“角色”选项卡。

2. 在“角色”列表中单击“新建”。

3. 输入角色的名称。

4. 单击“创建”。

向角色或组添加用户

1. 单击要为其添加用户的角色或组的名称。

2. 单击“用户”选项卡。

3. 从“可用”列表中选择您要添加的用户，并单击“添加”。

4. 当“选定”列表中显示所选的用户时，单击“保存”。

组

组代表具有共同功能、特性或利益的用户集合。通常来说，这种分组不会涉及权限。组可存在于两个级别，分别是组织和其他受管组中。

创建或修改组

1. 单击“组”选项卡。

2. 在“组”列表中单击“新建”。

3. 输入组的名称。

4. 单击“创建”。

   创建组之后，您可以单击组的名称，然后单击“用户”选项卡，将用户添加到组。