Sun Java System Access Manager 7.1 管理指南

基于组织的验证

此验证类型只适用于在“传统”模式下安装的 Access Manager 部署。

此验证方法允许用户向组织或子组织进行验证。这是 Access Manager 的默认验证方法。通过把“核心验证”模块注册到组织,并定义“组织验证配置”属性,可以设置组织的验证方法。

基于组织的验证登录 URL

通过在“用户界面登录 URL”中定义 org 参数或 domain 参数可以指定验证的组织。验证请求的组织由下列项目按优先级确定:

  1. domain 参数。

  2. org 参数。

  3. “管理服务”中的 DNS 别名(组织别名)属性值。

    在调用正确的组织后,可以通过“核心验证服务”中的“组织验证配置”属性获取将验证用户的验证模块。用于指定和启动基于组织的验证的登录 URL 是:


    http://server_name.domain_name:port/amserver/UI/Login
    http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name
    http://server_name.domain_name:port/amserver/UI/Login?org=org_name

    如果没有定义参数,将由服务器主机和登录 URL 指定的域确定组织。


注 –

如果用户是特定组织的成员并且验证到该特定组织,然后又尝试验证至不同组织,则只会传送 orgmodule 这两个参数。例如,如果 User1orgA 的成员并且验证到该领域,然后又尝试切换或验证到 orgB,则用户将收到一个警告页面,要求用户使用为 orgB 指定的模块实例启动到 orgB 的新验证,或返回 orgA 中现有的验证会话。如果选择验证到 orgB,则只会传送和使用组织名称和模块名称(如果指定)来确定新的验证过程。


基于组织的验证重定向 URL

在基于组织的验证成功或失败后,Access Manager 会查找信息以重定向用户。下面是应用程序查找这些信息的优先顺序。

成功的基于组织的验证重定向 URL

成功的基于组织的验证重定向 URL 通过按优先顺序检查以下位置来确定:

  1. 验证模块设置的 URL。

  2. goto 登录 URL 参数设置的 URL。

  3. clientType 自定义文件中为用户概要文件 (amUser.xml)iplanet-am-user-success-url 属性设置的 URL。

  4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

  5. clientType 自定义文件中为用户组织条目的 iplanet-am-auth-login-success-url 属性设置的 URL。

  6. clientType 自定义文件中为 iplanet-am-auth-login-success-url 属性设置的作为全局默认值的 URL。

  7. 用户概要文件 (amUser.xml) 的 iplanet-am-user-success-url 属性中设置的 URL。

  8. 用户角色条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

  9. 用户组织条目的 iplanet-am-auth-login-success-url 属性中设置的 URL。

  10. iplanet-am-auth-login-success-url 属性中设置的作为全局默认值的 URL。

失败的基于组织的验证重定向 URL

失败的基于组织的验证重定向 URL 通过按以下顺序检查以下位置来确定:

  1. 验证模块设置的 URL。

  2. gotoOnFail 登录 URL 参数设置的 URL。

  3. clientType 自定义文件中为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

  4. clientType 自定义文件中为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

  5. clientType 自定义文件中为用户组织条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

  6. clientType 自定义文件中为 iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

  7. 为用户条目 (amUser.xml) 的 iplanet-am-user-failure-url 属性设置的 URL。

  8. 为用户角色条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

  9. 为用户组织条目的 iplanet-am-auth-login-failure-url 属性设置的 URL。

  10. iplanet-am-auth-login-failure-url 属性设置的作为全局默认值的 URL。

配置基于组织的验证

要为组织设置验证模块,先为组织添加“核心验证”服务。

Procedure配置组织的验证属性

  1. 找到要为其添加“验证链”的组织。

  2. 单击“验证”选项卡。

  3. 选择“默认验证链”。

  4. 从下拉菜单中选择“管理员验证链”。如果需要将管理员的验证模块与最终用户的验证模块区别开来,则可以使用该属性。默认验证模块为 LDAP。

  5. 定义验证链之后,单击“保存”。