test

Sun Java System Access Manager 7.1 管理指南

基於角色的認證

此認證方法可讓使用者向組織或是子組織之中的角色 (靜態或篩選) 進行認證 。

備註 –

在認證配置服務可做為實例註冊到角色之前,必須先註冊至範圍中。

若要成功認證,使用者必須屬於該角色,並且必須認證到為該角色配置的認證配置服務實例中定義的每個模組。對每個基於角色的認證之實例,可指定下列屬性:

衝突解決層級。這為認證配置服務實例 (針對可能包含相同使用者的不同角色所定義) 設定優先層級。例如,若將 User1 指定給 Role1Role2 兩者,則可對 Role1 設定較高的衝突解決層級;因此當使用者嘗試認證時,Role1 將具有較高的優先順序以處理成功或失敗的重新導向及後認證程序。

認證配置。這會定義針對角色的認證程序配置之認證模組。

登入成功 URL。此項定義在成功認證上重新導向使用者的 URL。

登入失敗 URL。此項定義在失敗認證上重新導向使用者的 URL。

認證處理後類別。此將定義後認證介面。

基於角色的認證登入 URL

透過定義角色參數,可以在使用者介面登入 URL 中指定基於角色的認證。在呼叫正確的角色後,會從為角色定義的認證配置服務實例擷取將認證使用者的認證模組。

用於指定和啟動基於角色的認證的登入 URL 為:

http://server_name.domain_name:port/amserver/UI/Login?role=role_name
http://server_name.domain_name:port/amserver/UI/Login?realm=realm_name&role=role_name

若無配置的範圍參數,則將由登入 URL 中指定的伺服器主機和網域決定角色所屬的範圍。

基於角色的認證重新導向 URL

在基於角色的認證成功或失敗後,Access Manager 會尋找資訊以確定將使用者重新導向至何處。以下為應用程式尋找此資訊的優先順序。

成功的基於角色的認證重新導向 URL

成功的基於角色的認證,其重新導向 URL 是以此順序檢查下列位置決定的:

  1. 認證模組設定的 URL。

  2. goto 登入 URL 參數設定的 URL。

  3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-success-url 屬性設定的 URL。

  4. clientType 自訂檔案中為使用者已認證至的角色之 iplanet-am-auth-login-success-url 屬性設定的 URL。

  5. clientType 自訂檔案中為已認證使用者的另一個角色項目之 iplanet-am-auth-login-success-url 屬性設定的 URL。(如果前一個重新導向 URL 失敗,此選項為備用。)

  6. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-success-url 屬性設定的 URL。

  7. clientType 自訂檔案中為 iplanet-am-auth-login-success-url 屬性做為全域預設值設定的 URL。

  8. 設定於使用者設定檔 (amUser.xml) 之 iplanet-am-user-success-url 屬性中的 URL。

  9. 已對其認證使用者的角色之 iplanet-am-auth-login-success-url 屬性中設定的 URL。

  10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-success-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗,此選項為備用。)

  11. 設定於使用者範圍項目之 iplanet-am-auth-login-success-url 屬性中的 URL。

  12. iplanet-am-auth-login-success-url 屬性中設定的 URL,作為全域預設值。

失敗的基於角色的認證重新導向 URL

失敗的基於角色的認證,其重新導向 URL 是以此順序檢查下列位置決定的:

  1. 認證模組設定的 URL。

  2. goto 登入 URL 參數設定的 URL。

  3. clientType 自訂檔案中為使用者設定檔 (amUser.xml) 的 iplanet-am-user-failure-url 屬性設定的 URL。

  4. clientType 自訂檔案中為使用者已認證至的角色之 iplanet-am-auth-login-failure-url 屬性設定的 URL。

  5. clientType 自訂檔案中為已認證使用者的另一個角色項目之 iplanet-am-auth-login-failure-url 屬性設定的 URL。(如果前一個重新導向 URL 失敗,此選項為備用。)

  6. clientType 自訂檔案中為使用者範圍項目的 iplanet-am-auth-login-failure-url 屬性設定的 URL。

  7. clientType 自訂檔案中為 iplanet-am-auth-login-failure-url 屬性做為全域預設值設定的 URL。

  8. 於使用者設定檔 (amUser.xml)iplanet-am-user-failure-url 屬性中設定的 URL。

  9. 已對其認證使用者的角色之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。

  10. 已認證使用者另一個角色項目之 iplanet-am-auth-login-failure-url 屬性中設定的 URL。(如果前一個重新導向 URL 失敗,此選項為備案。)

  11. 設定於使用者範圍項目之 iplanet-am-auth-login-failure-url 屬性中的 URL。

  12. iplanet-am-auth-login-failure-url 屬性中設定的 URL,作為全域預設值。

Procedure若要配置基於角色的認證

  1. 瀏覽至您將增加認證配置服務的範圍 (或組織)。

  2. 按一下 [主體] 標籤。

  3. 篩選的角色或角色。

  4. 選取要設定認證配置的角色。

  5. 選取您想啟用的「預設認證鏈接」。

  6. 按 [儲存]。

    備註 –

    如果您要建立新的角色,系統不會自動為此角色指定認證配置服務。請確定先選取角色設定檔頁面頂部的 [認證配置服務] 選項,然後再建立角色。

    啟用基於角色的認證後,可以保留 LDAP 認證模組做為預設方式,因為無需配置成員身份。