登入 URL 參數
URL 參數是附加到 URL 尾端的「名稱/值」對。參數以問號開頭 (?),形式為 name=value。一個登入 URL 可以包含多個參數,例如:
http://server_name.domain_name:port/amserver/UI/ Login?module=LDAP&locale=ja&goto=http://www.sun.com
如果有一個或多個參數,會以 & 符號做為分隔符號。不過組合必須遵守下列指導方針:
-
每個參數在一個 URL 中只能出現一次。例如:module=LDAP&module=NT 是不可以計算的。
-
org 參數與 domain 參數兩者皆可決定登入範圍。在這種情形下,登入 URL 中只能使用其中一個參數。如果兩者都使用了而且未指定優先順序,只有其中一個會生效。
-
參數 user、role、service、module 及 authlevel 用於定義認證模組 (根據其各自的條件)。因此,只應於登入 URL 中使用其中之一。如果使用了一個以上而且未指定優先順序,只有其中一個會生效。
下節說明各個參數,這些參數在附加到使用者介面登入 URL 並鍵入網路瀏覽器的位置列時,可達到多種認證功能。
備註 –
若要簡化認證 URL 和參數以便在範圍內分發,管理員可配置一個具備簡單 URL 的 HTML 網頁,該頁面可連結到更複雜的登入 URL 以獲取所有已配置的認證方法。
goto 參數
goto=successful_authentication_URL 參數會覆寫認證配置服務之 [登入成功 URL] 中定義的值。當成功認證時,會連結到指定的 URL。goto=logout_URL 參數也可用於在使用者登出時連結到指定的 URL。以下是成功認證 URL 的範例:
http://server_name.domain_name:port/amserver/ UI/Login?goto=http://www.sun.com/homepage.html
goto 登出 URL 的範例:
http://server_name.domain_name:port/amserver/ UI/Logout?goto=http://www.sun.com/logout.html.
備註 –
Access Manager 使用優先順序尋找成功的認證重新導向 URL。因為這些重新導向 URL 及其順序是以認證方法為基礎,此順序 (及相關資訊) 於「認證類型」一節中有詳細說明。
gotoOnFail 參數
gotoOnFail=failed_authentication_URL 參數會覆寫認證配置服務之 [登入失敗 URL] 中定義的值。如果使用者認證失敗,將會連結到指定的 URL。gotoOnFail URL 的範例為:http://server_name.domain_name:port /amserver/UI/Login?gotoOnFail=http://www.sun.com/auth_fail.html。
備註 –
Access Manager 使用優先順序尋找失敗的認證重新導向 URL。因為這些重新導向 URL 及其順序是以認證方法為基礎,此順序 (及相關資訊) 於「認證類型」一節中有詳細說明。
realm 參數
realm=realmName 參數允許使用者做為指定範圍中的使用者進行認證。
備註 –
當使用者嘗試以 realm 參數認證時,若其不是指定範圍的成員,就會收到錯誤訊息。如果以下全部皆為 TRUE,可以於 Directory Server 中動態建立使用者設定檔:
-
核心認證服務中的使用者設定檔屬性必須設定為動態或隨使用者別名動態變化。
-
使用者必須成功認證到需要的模組。
-
Directory Server 中還沒有使用者的設定檔。
使用這項參數,將顯示正確的登入頁 (根據範圍及其語言環境設定)。若未設定此參數,預設值為頂層範圍。例如:realm URL 可以是:
http://server_name.domain_name:port/amserver/UI/Login?realm=sun
org 參數
org=orgName 參數可讓使用者做為指定組織中的使用者進行認證。
備註 –
當使用者嘗試以 org 參數認證時,若其不是指定組織的成員,就會收到錯誤訊息。如果以下全部皆為 TRUE,可以於 Directory Server 中動態建立使用者設定檔:
-
核心認證服務中的使用者設定檔屬性必須設定為動態或隨使用者別名動態變化。
-
使用者必須成功認證到需要的模組。
-
Directory Server 中還沒有使用者的設定檔。
使用這項參數,將顯示正確的登入頁 (根據組織及其語言環境設定)。如果未設定此參數,預設值為頂層組織。例如:org URL 可以是:
http://server_name.domain_name:port/amserver/UI/Login?org=sun
user 參數
user=userName 參數基於使用者設定檔之 [使用者認證配置] 屬性中配置的模組進行強制認證。例如,可以將一個使用者的設定檔配置為使用「憑證」模組進行認證,同時可以將另一個使用者配置為使用 LDAP 模組進行認證。增加此參數會將使用者傳送到其配置的認證程序,而非為其組織配置的方法。例如:
http://server_name.domain_name:port/amserver/UI/Login?user=jsmith
role 參數
role=roleName 參數會將使用者傳送到為指定角色配置的認證程序。尚未成為指定角色成員的使用者如果嘗試用此參數進行認證,會收到一條錯誤訊息。例如:
http://server_name.domain_name:port/amserver/UI/Login?role=manager.
locale 參數
Access Manager 具有為認證程序及主控台本身顯示本土化螢幕 (譯為非英語的語言) 的功能。locale=localeName 參數指定的語言環境較任何其他定義的語言環境的優先權更高。在下列位置中按指定順序搜尋配置後,用戶端會顯示登入語言環境:
-
登入 URL 中的語言環境參數值
locale=localeName 參數的值優先於所有其他定義的語言環境。
-
使用者設定檔中定義的語言環境
如果沒有 URL 參數,會根據在使用者設定檔的 [使用者偏好的語言] 屬性中設定的值顯示語言環境。
-
在標頭中定義的語言環境
語言環境由 Web 瀏覽器設定。
-
[核心認證服務] 中定義的語言環境
這是在 [核心認證] 模組中 [預設認證語言環境] 屬性的值。
-
在 [平台服務] 中定義的語言環境
這是在 [平台] 服務中 [平台語言環境] 屬性的值。
作業系統語言環境
由此等級順序得到的語言環境儲存於使用者的階段作業記號中,Access Manager 僅用它來載入本土化的認證模組。成功認證後,會使用於使用者設定檔之「使用者偏好的語言」屬性中定義的語言環境。如果都沒有設定,將繼續使用認證所使用的語言環境。例如:
http://server_name.domain_name:port/amserver/UI/Login?locale=ja. |
備註 –
如何本土化螢幕文字和錯誤訊息的資訊可於 Access Manager 中找到。
module 參數
module=moduleName 參數允許經由指定的認證模組進行認證。可指定任何模組,但模組必須首先在使用者所屬範圍下註冊且做為「核心認證」模組中該範圍的認證模組之一被選取。例如:
http://server_name.domain_name:port/amserver/UI/Login?module=Unix.
備註 –
在 URL 參數中使用認證模組名稱時要區分大小寫。
service 參數
service=serviceName 參數允許經由服務已配置的認證方案來認證使用者。使用 [認證配置] 服務可以為不同的服務配置不同的認證方案。例如,線上薪資應用程式可能需要使用更安全「憑證認證」模組進行認證,而範圍的員工目錄應用程式可能只需要「LDAP 認證」模組。可以為這些服務中的每一個服務配置並命名認證方案。例如:
http://server_name.domain_name:port/amserver/UI/Login?service=sv1.
備註 –
「認證配置」服務用來為基於服務的認證定義方案。
arg 參數
arg=newsession 參數用於結束使用者的目前階段作業,並開始新的階段作業。認證服務會透過一個請求銷毀使用者現有的階段作業記號,並執行新的登入。此選項通常用於 [匿名認證] 模組中。使用者先以匿名階段作業認證,然後點一下註冊或登入連結。例如:
http://server_name.domain_name:port/amserver/UI/Login?arg=newsession。
authlevel 參數
authlevel=value 參數會指示認證服務呼叫認證層級等於或大於指定認證層級值的模組。每個認證模組定義有一個固定的整數認證層級。例如:
http://server_name.domain_name:port/amserver/UI/Login?authlevel=1.
備註 –
認證層級是於每個模組的特定設定檔中設定。
domain 參數
此參數可讓使用者登入到識別為指定網域的範圍。指定的網域必須符合定義於範圍設定檔之網域名稱屬性中的值。例如:
http://server_name.domain_name:port/amserver/UI/Login?domain=sun.com。
備註 –
當使用者嘗試以 domain 參數認證時,若其不是指定網域/範圍的成員,就會收到錯誤訊息。如果以下各點全部皆為 TRUE,可以於 Directory Server 中動態建立使用者設定檔:
-
核心認證服務中的使用者屬性必須設定為動態或隨使用者別名動態變化 。
-
使用者必須成功認證到需要的模組。
-
Directory Server 中還沒有使用者的設定檔。
iPSPCookie 參數
iPSPCookie=yes 參數可讓使用者以永久性的 cookie 登入。永久性的 cookie 在瀏覽器視窗關閉後仍然繼續存在。要使用此參數,使用者登入的範圍必須在其核心認證模組中啟用永久性 Cookie。一旦使用者認證及瀏覽器關閉,使用者可以新的瀏覽器階段作業登入並被導向至控制台,而不需重新認證。在核心服務的 [永久性 Cookie 最長時間] 屬性指定之時間消逝前,該功能都有效。例如:
http://server_name.domain_name:port/amserver/UI/Login?org=example&iPSPCookie=yes
IDTokenN 參數
此參數可讓使用者藉由 URL 或 HTML 表單傳送認證憑證。利用 IDTokenN= value 參數,使用者毋須存取認證服務使用者介面便可被認證。此程序稱為零頁登入。零頁登入只適用於使用單一登入頁的認證模組。IDToken0、IDToken1、 ...、IDTokenN 的值會對映至認證模組的登入頁面之欄位。例如,LDAP 認證模組可能將 IDToken1 用於 userID 資訊、將 IDToken2 用於密碼資訊。在這種情形下,LDAP 模組 IDTokenN URL 將是:
http://server_name.domain_name:port/amserver/UI/ Login?module=LDAP&IDToken1=userID&IDToken2=password
(若預設認證模組為 LDAP,就可以省略 module=LDAP。)
就匿名認證而言,登入 URL 參數會是:
http://server_name.domain_name:port/amserver/UI/Login?module=Anonymous&IDToken1=anonymousUserID。
備註 –
名稱為 Login.Token0、Login.Token1、...、Login.TokenN 的記號 (來自之前的版本) 仍受支援,但將於未來版本中停用。建議您使用新的 IDTokenN 參數。
- © 2010, Oracle Corporation and/or its affiliates