代理配置文件

Access Manager 策略代理对 Web 服务器和 Web 代理服务器上的内容提供保护以防止未授权的侵入。它们基于管理员配置的策略来控制对服务和 Web 资源的访问。

代理对象定义了“策略代理”配置文件，并允许 Access Manager 存储与保护 Access Manager 资源的特定代理有关的验证及其他配置文件信息。通过 Access Manager 控制台，管理员可以查看、创建、修改和删除代理配置文件。

可以在代理对象创建页面定义代理用于通过 Access Manager 进行验证的 UID/密码。如果有多个使用相同 Access Manager 设置的 Web 容器，您可以选择为不同的代理启用多个 ID 并且可以从 Access Manager 单独将其启用和禁用。您也可以集中管理代理的一些首选项值，而不必在每台计算机上都编辑 AMAgent.properties。

创建或修改代理

1. 单击“代理”选项卡。

2. 单击“新建”。

3. 输入以下字段的值：

   名称。输入代理的名称或身份。此名称是代理用来登录的名称。不接受多字节用户名称。

   密码。输入代理的密码。此密码必须与在 LDAP 验证过程中代理所使用的密码不同。

   确认密码。确认密码。

   设备状态。输入代理的设备状态。如果设置为“活动”，则代理可以通过进行验证并与 Access Manager 进行通信。如果设置为“不活动”，则代理不能通过 Access Manager 进行验证。

4. 单击“创建”。

5. 创建代理之后，您可以另外编辑以下字段：

   说明。输入代理的简短说明。例如，可以输入代理实例名称或其保护的应用程序的名称。

   代理关键字值。使用关键字/值对设置代理属性。Access Manager 使用此属性接收有关用户的证书声明的代理请求。当前仅一个属性有效，所有其他属性都将被忽略。请使用以下格式：

   agentRootURL=protocol:// hostname:port/

   条目必须准确，而且 agentRootURL 区分大小写。

   protocol

   代表所使用的协议，即 HTTP 或 HTTPS。

   hostname

   代表代理所驻留的计算机的主机名。此计算机也托管由代理保护的资源。

   port

   代表安装代理的端口号。代理侦听此端口上的接收通信，并拦截所有要访问主机资源的请求。

配置 Access Manager 以防止 Cookie 劫持

Cookie 劫持就是指冒名顶替者（可能是使用不可信应用程序的黑客）对 cookie 进行未授权的访问 。如果被劫持的 cookie 是会话 cookie，则根据系统的配置方式，cookie 劫持可能增加对受保护 Web 资源的未授权访问威胁。

Sun 文档提供标题为“Precautions Against Session-Cookie Hijacking in an Access Management Deployment”（在访问管理部署中防止会话 Cookie 劫持的预防措施）的技术说明，该说明介绍要对抗与会话 cookie 劫持相关的特定安全威胁可采取的预防措施参见以下文档：

《Technical Note: Precautions Against Cookie Hijacking in an Access Manager Deployment》