第 6 章 管理主體

主體介面在一個範圍內啟用基本識別管理。您建立於主體介面中的識別可用於以「Access Manager 身份識別主體」類型建立之策略的主體定義中。

您可以建立與修改的識別為：

• 使用者

• 代理程式設定檔

• 篩選的角色

• 角色

• 群組

使用者

使用者代表個人的識別。可於群組中建立與刪除使用者，並可在角色和/或群組中增加或移除。您亦可為使用者指定服務。

建立或修改使用者

1. 按一下 [使用者] 標籤。

2. 按一下 [開啟新檔] 。

3. 輸入下列欄位的資料：

   使用者 ID。此欄位中為登入 Access Manager 的使用者名稱。此特性可為非 DN 值。

   名字。此欄位中為使用者的名字。

   姓氏。此欄位中為使用者的姓氏。

   全名 — 此欄位中為使用者的全名。

   密碼。— 此欄位中為 [使用者 ID] 欄位中所指定名稱的密碼。

   密碼 (確認) — 確認密碼。

   使用者狀態。此選項指出是否允許使用者透過 Access Manager 認證。

4. 按一下 [建立]。

5. 一旦建立了使用者，您可以按一下使用者名稱來編輯使用者資訊。如需使用者屬性的資訊，請參閱「使用者」屬性。您可執行的其他修改：

   • 建立或修改使用者

   • 將使用者增加至角色或群組

   • 將服務增加至識別

將使用者增加至角色或群組

1. 按一下您要修改的使用者名稱。

2. 選取角色或群組。僅會顯示已指定給使用者的角色與群組。

3. 從 [可用的] 清單選取角色或群組並按一下 [增加]。

4. 一旦角色或群組顯示於 [選取的] 清單中，按一下 [儲存]。

將服務增加至識別

1. 選取您要增加服務的識別。

2. 按一下 [服務] 標籤。

3. 按一下 [加入] 。

4. 依據您所選取的識別類型，將顯示下列服務清單：

   • 認證配置

   • 探索服務

   • Liberty 個人設定檔服務

   • 階段作業

   • 使用者

5. 選取您要增加的服務，並按 [下一步]。

6. 編輯服務的屬性。如需有關服務的說明，請按一下步驟 4 中的服務名稱。

7. 按一下 [完成]。

代理程式設定檔

Access Manager 策略代理程式保護 Web 伺服器與 Web 代理伺服器上的內容以防止未授權的侵入。它們根據管理員所配置的策略控制對服務與 Web 資源的存取。

代理程式物件定義策略代理程式設定檔，可讓 Access Manager 儲存認證及其他與保護 Access Manager 資源之特定代理程式有關的設定檔資訊。經由 Access Manager 主控台，管理員可以檢視、建立、修改與刪除代理程式設定檔。

在代理程式物件建立頁面，可以定義代理程式認證至 Access Manager 所需的 UID/密碼。若您具有使用同一 Access Manager 建立的多重 Web 容器，您可以對不同代理程式啟用多重 ID，並由 Access Manager 個別地啟用與停用。您亦可集中管理代理程式的某些喜好設定值，而不需在每台機器上編輯 AMAgent.properties。

建立或修改代理程式

1. 按一下 [代理程式] 標籤。

2. 按一下 [開啟新檔] 。

3. 輸入下列欄位值：

   名稱。 輸入代理程式的名稱或識別。這是代理程式將用來登入 Access Manager 的名稱。不接受多位元的名稱。

   密碼。 輸入代理程式密碼。此密碼必須與 LDAP 認證期間代理程式所使用的密碼不同。

   確認密碼。確認密碼。

   裝置狀態。輸入代理程式的裝置狀態。若設為 [使用中]，代理程式將可以認證至 Access Manager，並與其通訊。若設為 [非使用中]，代理程式將無法認證至 Access Manager。

4. 按一下 [建立]。

5. 一旦您建立了代理程式，您可以另外編輯下列欄位：

   描述。輸入代理程式的簡要描述。例如，您可以輸入代理程式實例名稱或其保護的應用程式的名稱。

   代理程式金鑰值。以一個「金鑰/值」對設定代理程式特性。此特性為 Access Manager 所使用，以接收有關使用者之憑證指定的代理程式請求。目前，僅有一個特性有效，且將忽略所有其他特性。請使用以下格式：

   agentRootURL=protocol:// hostname:port/

   此項目必須精確，而且 agentRootURL 大小寫相符。

   protocol

   代表所使用的通訊協定，可能是 HTTP 或 HTTPS。

   hostname

   代表代理程式所在電腦的主機名稱。這部電腦也託管代理程式所保護的資源。

   port

   代表安裝代理程式的連接埠號碼。代理程式在這個連接埠上偵聽內送的流量，並截取存取主機資源的所有請求。

配置 Access Manager 以保護 Cookie 免遭劫持

Cookie 遭受劫持係指侵入者 (駭客，可能使用不受信任的應用程式) 對 Cookie 進行未經授權的存取。若被劫持的 Cookie 是階段作業 Cookie，視系統配置方式而定，Cookie 劫持可能增加對受保護 Web 資源的未經授權存取威脅。

Sun 文件提供一份技術說明，標題為「Precautions Against Session-Cookie Hijacking in an Access Management Deployment」，其中說明了要對抗與階段作業 Cookie 劫持有關的特定安全威脅可以採取的預防措施。請參閱下列文件：

「Technical Note: Precautions Against Cookie Hijacking in an Access Manager Deployment」

篩選的角色

篩選的角色是使用 LDAP 篩選器建立的動態角色。建立角色時，所有使用者都會透過篩選器的篩選並指定給此角色。篩選器會在項目中尋找任何屬性值對 (例如，ca=user*)，並自動將包含該屬性的使用者指定給角色。

建立篩選角色

1. 於 [瀏覽] 窗格中，移至將建立角色的組織。

2. 按一下 [開啟新檔] 。

3. 輸入篩選角色的名稱。

4. 輸入搜尋條件的資訊。

   例如，

   (&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*))))

   若篩選器依預設為空白，將建立下列角色：

   (objectclass = inetorgperson)

5. 按一下 [建立] 以根據篩選條件初始搜尋。由篩選條件定義的識別將自動地指定給角色。

6. 一旦建立了篩選角色，按一下角色名稱以檢視屬於角色的使用者。您亦可按一下 [服務] 標籤來增加服務至角色。

角色

角色的成員是角色的 LDAP 項目。角色自己的條件已定義為含屬性的 LDAP 項目，由項目的辨別名稱 (Distinguished Name, DN) 屬性所辨識。一旦建立了角色，您可以手動增加服務與使用者。

建立或修改角色

1. 按一下 [角色] 標籤。

2. 於 [角色] 清單中按一下 [新建]。

3. 輸入角色的名稱。

4. 按一下 [建立]。

增加使用者至角色或群組

1. 按一下您要增加使用者的角色或群組名稱。

2. 按一下 [使用者] 標籤。

3. 從 [可用的] 清單選取您要增加的使用者並按一下 [增加]。

4. 一旦使用者顯示於 [選取的] 清單中，按一下 [儲存]。

群組

群組代表具有共同功能、特性或興趣的使用者集合。通常，此群組並無與之相關聯的權限。群組可存在於兩個層級；於組織內及於其他受管理群組內。

建立或修改群組

1. 按一下 [群組] 標籤。

2. 按一下 [群組] 清單上的 [新建]。

3. 輸入群組的名稱。

4. 按一下 [建立]。

   一旦您建立了群組，您可以按一下群組名稱與 [使用者] 標籤，將使用者增加至群組。