認證類型

認證服務提供不同的方式讓認證套用。這些不同的認證方法可藉由指定登入 URL 參數或透過認證 API 來獲取 (請參閱開發者指南「Sun Java System Access Manager 7.1 Developer’s Guide」中的第 2 章「Using Authentication APIs and SPIs」以取得更多資訊)。配置認證模組之前，必須先修改核心認證服務屬性 [範圍認證模組] ，使之包括特定的認證模組名稱。

認證配置服務用於為以下任一認證類型定義認證模組：

• 基於範圍的認證

• 基於組織的認證

• 基於角色的認證

• 基於服務的認證

• 基於使用者的認證

• 基於認證層級的認證

• 基於模組的認證

為這些認證類型之一定義認證模組後，便可以將此模組配置為根據認證程序成敗提供重新導向 URL 以及處理後的 Java 類別規格。

認證類型決定存取的方式

這些方法的每一種，使用者認證都可能通過或失敗。一旦確定，每種方法都會依照此程序。步驟 1 至步驟 3 在成功認證後執行；步驟 4 在認證成功或失敗後均須執行。

1. Access Manager 會確認所認證的使用者是否在 Directory Server 資料存放區中定義，以及設定檔是否在使用中。

   核心認證模組中的使用者設定檔屬性可以定義為必需、動態、隨使用者別名動態變化或忽略。認證成功之後，Access Manager 會確認 Directory Server 資料存放區中是否定義了所認證的使用者，並且如果使用者設定檔值為必需，再確認設定檔是否在使用中。這是預設情形。如果使用者設定檔為動態配置，認證服務將會在 Directory Server 資料存放區中建立使用者設定檔。若使用者設定檔設定為忽略，將不會完成使用者驗證。

2. 認證處理後 SPI 的執行完成。

   核心認證模組包含認證處理後類別屬性，其中可能包含認證處理後類別名稱作為其值。AMPostAuthProcessInterface 是處理後介面。它可以在成功或失敗的認證或登出時執行。

3. 下列特性會加入階段作業記號，或在階段作業記號中更新，而使用者的階段作業會啟動。

   realm。這是使用者歸屬的範圍 DN。

   Principal。這是使用者的 DN。

   Principals。這是使用者已認證過的名稱清單。該特性可以有多個值，值之間以管道符號分隔。

   UserId。這是模組傳回的使用者 DN，在非 LDAP 或成員模組的情況下，為使用者名稱。(所有主體都必須對映到相同的使用者。UserID 為它們所對映之使用者 DN。)

   ---

   備註 –

   此特性可為非 DN 值。

   ---

   UserToken。這是使用者名稱。(所有主體都必須對映到相同的使用者。UserToken 為它們所對映之使用者名稱。)

   Host。這是用戶端的主機名稱或是 IP 位址。

   authLevel。這是使用者已認證過的最高層級。

   AuthType。這是已認證使用者的認證模組清單，以管道符號分隔 (例如，module1|module2|module3)。

   clientType。這是用戶端瀏覽器的裝置類型。

   Locale。這是用戶端的語言環境。

   CharSet。這是為用戶端確定的字元集。

   Role。僅適用於基於角色的認證，此為使用者歸屬的角色。

   Service。僅適用於基於服務的認證，此為使用者歸屬的服務。

4. 在成功或失敗認證後，Access Manager 會尋找資訊以確定將使用者重新導向至何處。

   URL 重新導向的位置可以是 Access Manager 頁面或 URL。重新導向會依據優先順序進行，Access Manager 會根據認證方法及認證是否已成功或已失敗，依此優先順序尋找重新導向。此順序詳述於下列認證方法章節的 URL 重新導向部分。

URL 重新導向

在認證配置服務中，您可以為成功或失敗的認證指定 URL 重新導向。URL 本身在此服務的登入成功 URL 和登入失敗 URL 屬性中定義。為了啟用 URL 重新導向，您必須將認證配置服務加入您的範圍，使之可用於角色、範圍或使用者的配置。在加入認證配置服務時，請確定您加入的是認證模組，例如 LDAP - REQUIRED。

基於範圍的認證

此認證方法可讓使用者向範圍或子範圍進行認證。此為 Access Manager 的預設認證方法。範圍的認證方法是透過對範圍註冊核心認證模組，並定義範圍認證配置屬性來設定的。

基於範圍的認證登入 URL

藉由定義 realm 參數或 domain 參數，可於使用者介面登入 URL 中指定認證的範圍。由下列項目決定認證請求的範圍，其優先順序為：

1. domain 參數。

2. realm 參數。

3. 管理服務中的 DNS 別名屬性值。

   於呼叫正確的範圍後，將從核心認證服務的範圍認證配置屬性擷取將認證使用者的認證模組。用來指定並啟動基於範圍的認證的登入 URL 為：

   http://server_name.domain_name:port/amserver/UI/Login http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name

   若無定義的參數，則將由登入 URL 中指定的伺服器主機和網域決定範圍。

---

備註 –

如果使用者是特定範圍的成員，且經過該範圍認證，接著嘗試向其他範圍認證，則只傳送 realm 和 module 兩個參數。例如，如果 User1 是 realmA 的成員，並認證至該範圍，後來想嘗試切換或認證至 realmB，則使用者會收到警告頁面，要求他們使用針對 realmB 指定的模組實例啟動向 realmB 的新認證，或返回到現有經過驗證的 realmA 階段作業。如果使用者認證到 realmB，則只會傳送及利用範圍名稱及模組名稱 (若有指定) 來判斷新的認證程序。

---

基於範圍的認證重新導向 URL

在基於組織的認證成功或失敗後，Access Manager 會尋找資訊以確定將使用者重新導向至何處。以下為應用程式尋找此資訊的優先順序。

成功的基於範圍的認證重新導向 URL

成功的基於範圍的認證重新導向 URL 是依優先順序檢查下列位置來決定：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-success-url 屬性做為全域預設值設定的 URL。

7. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於範圍的認證重新導向 URL

失敗的基於範圍的認證重新導向 URL 是以下列順序檢查下列位置來決定：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者項目 (amUser.xml) 的 iplanet-am-user-failure-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-failure-url 屬性做為全域預設值設定的 URL。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

若要配置基於範圍的認證

要為範圍設定認證模組，先為範圍增加核心認證服務。

若要配置範圍的認證屬性

1. 瀏覽至您要增加認證鏈接的範圍。

2. 按一下 [認證] 標籤。

3. 選取 [預設認證鏈接]。

4. 由下拉式功能表選取 [管理員認證鏈接]。如果需要管理員的認證模組與一般使用者的認證模組有所不同，則可以使用此屬性。預設認證模組為 LDAP。

5. 定義了認證鏈接之後，按一下 [儲存]。

基於組織的認證

此認證類型僅可套用至以「舊有」模式安裝的 Access Manager 部署。

此認證方法可讓使用者向一個組織或子組織認證。它是 Access Manager 的預設認證方法。組織的認證方法是透過對組織註冊核心認證模組，並定義組織認證配置屬性來設定的。

基於組織的認證登入 URL

藉由定義 org 參數或 domain 參數，可以在使用者介面登入 URL 中指定認證的組織。由下列項目決定認證請求的組織，優先順序為：

1. domain 參數。

2. org 參數。

3. 管理服務中 DNS 別名 (組織別名) 屬性的值。

   在呼叫正確的組織後，會從核心認證服務的組織認證配置屬性擷取將認證使用者的認證模組。用來指定並啟動基於組織的認證的登入 URL 為：

   http://server_name.domain_name:port/amserver/UI/Login http://server_name.domain_name:port/amserver/UI/Login?domain=domain_name http://server_name.domain_name:port/amserver/UI/Login?org=org_name

   若無定義的參數，則將由登入 URL 中指定的伺服器主機和網域決定組織。

---

備註 –

如果使用者是特定組織的成員，且經過該組織認證，接著嘗試向其他組織認證，則只傳送 org 和 module 兩個參數。例如，如果 User1 是 orgA 的成員，並認證至該組織，後來想嘗試切換或認證至 orgB，則使用者會收到警告頁面，要求他們使用針對 orgB 指定的模組實例啟動向 orgB 的新認證，或返回到現有經過驗證的 orgA 階段作業。如果使用者認證到 orgB，則只會傳送及利用組織名稱及模組名稱 (若有指定) 來判斷新的認證程序。

---

基於組織的認證重新導向 URL

在基於組織的認證成功或失敗後，Access Manager 會尋找資訊以確定將使用者重新導向至何處。以下為應用程式尋找此資訊的優先順序。

成功的基於組織的認證重新導向 URL

成功的基於組織的認證，其重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者組織項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-success-url 屬性做為全域預設值設定的 URL。

7. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 使用者組織項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於組織的認證重新導向 URL

失敗的基於組織的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者項目 (amUser.xml) 的 iplanet-am-user-failure-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者組織項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-failure-url 屬性做為全域預設值設定的 URL。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 針對使用者組織項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

若要配置基於組織的認證

要為組織設定認證模組，先為組織加入核心認證服務。

若要配置組織的認證屬性

1. 瀏覽至您要增加認證鏈接的組織。

2. 按一下 [認證] 標籤。

3. 選取 [預設認證鏈接]。

4. 由下拉式功能表選取 [管理員認證鏈接]。如果需要管理員的認證模組與一般使用者的認證模組有所不同，則可以使用此屬性。預設認證模組為 LDAP。

5. 定義了認證鏈接之後，按一下 [儲存]。

基於角色的認證

此認證方法可讓使用者向組織或是子組織之中的角色 (靜態或篩選) 進行認證 。

---

備註 –

在認證配置服務可做為實例註冊到角色之前，必須先註冊至範圍中。

---

若要成功認證，使用者必須屬於該角色，並且必須認證到為該角色配置的認證配置服務實例中定義的每個模組。對每個基於角色的認證之實例，可指定下列屬性：

衝突解決層級。這為認證配置服務實例 (針對可能包含相同使用者的不同角色所定義) 設定優先層級。例如，若將 User1 指定給 Role1 和 Role2 兩者，則可對 Role1 設定較高的衝突解決層級；因此當使用者嘗試認證時，Role1 將具有較高的優先順序以處理成功或失敗的重新導向及後認證程序。

認證配置。這會定義針對角色的認證程序配置之認證模組。

登入成功 URL。此項定義在成功認證上重新導向使用者的 URL。

登入失敗 URL。此項定義在失敗認證上重新導向使用者的 URL。

認證處理後類別。此將定義後認證介面。

基於角色的認證登入 URL

透過定義角色參數，可以在使用者介面登入 URL 中指定基於角色的認證。在呼叫正確的角色後，會從為角色定義的認證配置服務實例擷取將認證使用者的認證模組。

用於指定和啟動基於角色的認證的登入 URL 為：

http://server_name.domain_name:port/amserver/UI/Login?role=role_name
http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&role=role_name

若無配置的範圍參數，則將由登入 URL 中指定的伺服器主機和網域決定角色所屬的範圍。

基於角色的認證重新導向 URL

在基於角色的認證成功或失敗後，Access Manager 會尋找資訊以確定將使用者重新導向至何處。以下為應用程式尋找此資訊的優先順序。

成功的基於角色的認證重新導向 URL

成功的基於角色的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者已認證至的角色之 iplanet-am-auth-login-success-url 屬性設定的 URL。

5. clientType 自訂檔案中為已認證使用者的另一個角色項目之 iplanet-am-auth-login-success-url 屬性設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備用。)

6. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

7. clientType 自訂檔案中為 iplanet-am-auth-login-success-url 屬性做為全域預設值設定的 URL。

8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

9. 已對其認證使用者的角色之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備用。)

11. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

12. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於角色的認證重新導向 URL

失敗的基於角色的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-failure-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者已認證至的角色之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

5. clientType 自訂檔案中為已認證使用者的另一個角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備用。)

6. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

7. clientType 自訂檔案中為 iplanet-am-auth-login-failure-url 屬性做為全域預設值設定的 URL。

8. 於使用者設定檔 (amUser.xml) 之 iplanet-am-user-failure-url 屬性中設定的 URL。

9. 已對其認證使用者的角色之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗，此選項為備案。)

11. 設定於使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性中的 URL。

12. 於 iplanet-am-auth-login-failure-url 屬性中設定的 URL，作為全域預設值。

若要配置基於角色的認證

1. 瀏覽至您將增加認證配置服務的範圍 (或組織)。

2. 按一下 [主體] 標籤。

3. 篩選的角色或角色。

4. 選取要設定認證配置的角色。

5. 選取您想啟用的「預設認證鏈接」。

6. 按 [儲存]。

   ---

   備註 –

   如果您要建立新的角色，系統不會自動為此角色指定認證配置服務。請確定先選取角色設定檔頁面頂部的 [認證配置服務] 選項，然後再建立角色。

   啟用基於角色的認證後，可以保留 LDAP 認證模組做為預設方式，因為無需配置成員身份。

   ---

基於服務的認證

此認證方法允許使用者向在範圍或子範圍中註冊的特定服務或應用程式進行認證。服務配置為認證配置服務中的服務實例並且與一個實例名稱相關。若要成功認證，使用者必須向為服務配置的認證配置服務實例中定義的每個模組進行認證。對每個基於服務的認證之實例，可指定下列屬性：

認證配置。這會定義為服務的認證程序配置之認證模組。

登入成功 URL。此項定義在成功認證上重新導向使用者的 URL。

登入失敗 URL。此項定義在失敗認證上重新導向使用者的 URL。

認證處理後類別。此將定義後認證介面。

基於服務的認證登入 URL

透過定義服務參數，可以在使用者介面登入 URL 中指定基於服務的認證。在呼叫服務後，會從為服務定義的認證配置服務實例擷取將認證使用者的認證模組。

用於指定和啟動基於服務的認證的登入 URL 為：

http://server_name.domain_name:port/amserver/UI/
Login?service=auth-chain-name

和

http://server_name.domain_name:port/amserver
     /UI/Login?realm=realm_name&service=auth-chain-name

若無配置的 realm 參數，將由登入 URL 中指定的伺服器主機和網域決定範圍。

基於服務的認證重新導向 URL

在基於服務的認證成功或失敗後，Access Manager 會尋找資訊以確定將使用者重新導向至何處。以下為應用程式尋找此資訊的優先順序。

成功的基於服務的認證重新導向 URL

成功的基於服務的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者已認證至的服務之 iplanet-am-auth-login-success-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

6. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

7. clientType 自訂檔案中為 iplanet-am-auth-login-success-url 屬性做為全域預設值設定的 URL。

8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

9. 已對其認證使用者的服務之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

10. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

11. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

12. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於服務的認證重新導向 URL

失敗的基於服務的認證，其重新導向是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-failure-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者已認證至的服務之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

6. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

7. clientType 自訂檔案中為 iplanet-am-auth-login-failure-url 屬性做為全域預設值設定的 URL。

8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-failure-url 屬性中的 URL。

9. 已對其認證使用者的服務之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

10. 於使用者角色項目之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

11. 設定於使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性中的 URL。

12. 於 iplanet-am-auth-login-failure-url 屬性中設定的 URL，作為全域預設值。

若要配置基於服務的認證

加入認證配置服務後，為服務設定認證模組。若要如此，請：

1. 選擇您要配置基於服務的認證的範圍。

2. 按一下 [認證] 標籤。

3. 建立認證模組實例。

4. 建立認證鏈接。

5. 按 [儲存]。

6. 若要存取範圍的基於服務的認證，請輸入下列位址：

   http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&service=auth-chain-name

基於使用者的認證

此認證方法可讓使用者向特別為使用者配置的認證程序進行認證。該程序被配置為使用者設定檔中使用者認證配置屬性的值。若要成功認證，使用者必須認證到每個定義的模組。

基於使用者的認證登入 URL

透過定義使用者參數，可以在使用者介面登入 URL 中指定基於使用者的認證。在呼叫正確的使用者後，將從為使用者定義的使用者認證配置服務實例擷取將認證使用者的認證模組。

用於指定和啟動基於角色的認證的登入 URL 為：

http://server_name.domain_name:port/amserver/UI/Login?user=user_name
http://server_name.domain_name:port/amserver/UI/Login?org=org_name&user=user_name

若無配置的 realm 參數，則將由登入 URL 中指定的伺服器主機和網域決定角色所屬的範圍。

使用者別名清單屬性

在接收基於使用者的認證請求時，認證服務會先驗證使用者是有效的使用者，然後為其擷取認證配置資料。在有一個以上有效使用者設定檔與使用者登入 URL 參數有關的情形時，所有的設定檔必須對映到指定的使用者。使用者設定檔中的使用者別名屬性 (iplanet-am-user-alias-list ) 是用於定義其他屬於該使用者的設定檔之位置。如果對映失敗，則使用者會受到有效階段作業的拒絕。例外的情況是：若其中一個使用者為頂層管理員，則不會執行使用者對映驗證並給予使用者頂層管理員權限。

基於使用者的認證重新導向 URL

在基於使用者的認證成功或失敗後，Access Manager 會尋找資訊以確定將使用者重新導向至何處。以下為應用程式尋找此資訊的優先順序。

成功的基於使用者的認證重新導向 URL

成功的基於使用者的認證，其重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-success-url 屬性做為全域預設值設定的 URL。

7. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於使用者的認證重新導向 URL

失敗的基於使用者的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者項目 (amUser.xml) 的 iplanet-am-user-failure-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-failure-url 屬性做為全域預設值設定的 URL。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

若要配置基於使用者的認證

1. 瀏覽至您要為使用者配置認證的範圍。

2. 按一下 [主體] 標籤並按一下 [使用者]。

3. 按一下您要修改的使用者名稱。

   [使用者設定檔] 隨即顯示。

   ---

   備註 –

   如果您要建立新的使用者，系統不會自動為此使用者指定認證配置服務。請確定先於服務設定檔中選取 [認證配置] 服務選項，然後再建立使用者。如果未選取此選項，使用者將無法繼承為角色定義的認證配置。

   ---

4. 於 [使用者認證配置] 屬性中，選取您要套用的認證鏈接。

5. 按 [儲存]。

基於認證層級的認證

每個認證模組均可與其認證層級的整數值相關聯。變更模組 [認證層級] 屬性的對應值，即可指定認證層級。使用者在一個或多個認證模組中經過認證後，較高的認證層級為使用者定義較高的信任層級。

在模組中成功認證使用者後，將在使用者的 SSO 記號上設定認證層級。如果使用者被要求在多個認證模組中認證，並且成功完成認證，則最高的認證層級值將標記在使用者的 SSO 記號上。

若使用者嘗試存取服務，服務可檢查使用者的 SSO 記號中之認證層級，來決定是否允許使用者進行存取。然後，它將重新導向使用者，使之以設定的認證層級通過認證模組。

使用者還可以使用特定的認證層級存取認證模組。例如，某使用者使用以下語法執行登入：

http://hostname:port/deploy_URI/UI/Login?authlevel=
auth_level_value

其認證層級大於或等於 auth_level_value 的所有模組將顯示為認證功能表，供使用者選擇。如果僅找到一個相符的模組，則會直接顯示此認證模組的登入頁面。

此認證方法可讓管理員指定可認證身份的模組的安全層級。每個認證模組都有個別的認證層級屬性，而此屬性的值可以被定義為任何有效的整數。藉由基於認證層級的認證，「認證服務」會顯示一個模組登入頁面，其中有一個功能表，包含認證層級等於或大於登入 URL 參數所指定的值之認證模組。使用者可從現有的清單選取一個模組。一旦使用者選取模組後，剩餘的程序則視基於模組的認證而定。

基於認證層級的認證登入 URL

透過定義 authlevel 參數，可以在使用者介面登入 URL 中指定基於認證層級的認證。在呼叫含有相關模組清單的登入螢幕後，使用者必須選擇一項要認證至的模組。用於指定和啟動基於認證層級的認證登入 URL 為：

http://server_name.domain_name:port/amserver/UI/Login?authlevel=authentication_level

和

http://server_name.domain_name:port/amserver/UI/
Login?realm=realm_name&authlevel=authentication_level

若無配置的 realm 參數，則將由登入 URL 中指定的伺服器主機和網域決定使用者所屬的範圍。

基於認證層級的認證重新導向 URL

在基於認證層級的認證成功或失敗後，Access Manager 會尋找資訊以確定將使用者重新導向至何處。以下為應用程式尋找此資訊的優先順序。

成功的基於認證層級的認證重新導向 URL

成功的基於認證層級的認證，其重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-success-url 屬性做為全域預設值設定的 URL。

7. 於使用者設定檔 (amUser.xml) 中的 iplanet-am-user-success-url 屬性中設定一個 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於認證層級的認證重新導向 URL

失敗的基於認證層級的認證重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者項目 (amUser.xml) 的 iplanet-am-user-failure-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-failure-url 屬性做為全域預設值設定的 URL。

7. 於使用者項目 (amUser.xml) 中設定 iplanet-am-user-failure-url 屬性的 URL。

8. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

9. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

10. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。

基於模組的認證

使用者可以使用以下語法存取特定認證模組：

http://hostname:port/deploy_URI/UI/Login?module=
module_name

存取認證模組之前，必須先修改核心認證服務屬性 [範圍認證模組] ，使之包括此認證模組名稱。如果該屬性中未包括此認證模組名稱，使用者嘗試認證時，系統將顯示 [認證模組被拒絕] 頁面。

此認證方法可讓使用者指定進行認證的模組。指定的模組必須註冊至使用者存取的範圍或子範圍。這是在範圍核心認證服務的範圍認證模組屬性中配置。在接收此項基於模組的認證請求時，認證服務會驗證模組是否依據說明正確配置，如果未定義模組，使用者會被拒絕存取。

基於模組的認證登入 URL

透過定義模組參數，可以在使用者介面登入 URL 中指定基於模組的認證。用於指定和啟動基於模組的認證登入 URL 為：

http://server_name.domain_name:port/amserver/UI/Login?module=authentication_module_name
http://server_name.domain_name:port/amserver/UI/
Login?org=org_name&module=authentication_module_name

若無配置的 realm 參數，則將由登入 URL 中指定的伺服器主機和網域決定使用者所屬的範圍。

基於模組的認證重新導向 URL

在基於模組的認證成功或失敗後，Access Manager 會尋找資訊以確定將使用者重新導向至何處。以下為應用程式尋找此資訊的優先順序。

成功的基於模組的認證重新導向 URL

成功的基於模組的認證，其重新導向 URL 是以此優先順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. goto 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-success-url 屬性做為全域預設值設定的 URL。

7. 於使用者設定檔 (amUser.xml) 中的 iplanet-am-user-success-url 屬性中設定一個 URL。

8. 使用者角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

9. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

10. iplanet-am-auth-login-success-url 屬性中設定的 URL，作為全域預設值。

失敗的基於模組的認證重新導向 URL

失敗的基於模組的認證，其重新導向 URL 是以此順序檢查下列位置決定的：

1. 認證模組設定的 URL。

2. gotoOnFail 登入 URL 參數設定的 URL。

3. clientType 自訂檔案中為使用者項目 (amUser.xml) 的 iplanet-am-user-failure-url 屬性設定的 URL。

4. clientType 自訂檔案中為使用者角色項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

5. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

6. clientType 自訂檔案中為 iplanet-am-auth-login-failure-url 屬性做為全域預設值設定的 URL。

7. 針對使用者角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

8. 設定使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性的 URL。

9. 針對 iplanet-am-auth-login-failure-url 屬性設定的 URL，作為全域預設值。