主體介面在一個範圍內啟用基本識別管理。您建立於主體介面中的識別可用於以「Access Manager 身份識別主體」類型建立之策略的主體定義中。
您可以建立與修改的識別為:
使用者代表個人的識別。可於群組中建立與刪除使用者,並可在角色和/或群組中增加或移除。您亦可為使用者指定服務。
按一下 [使用者] 標籤。
按一下 [開啟新檔] 。
輸入下列欄位的資料:
使用者 ID。此欄位中為登入 Access Manager 的使用者名稱。此特性可為非 DN 值。
名字。此欄位中為使用者的名字。
姓氏。此欄位中為使用者的姓氏。
全名 — 此欄位中為使用者的全名。
密碼。— 此欄位中為 [使用者 ID] 欄位中所指定名稱的密碼。
密碼 (確認) — 確認密碼。
使用者狀態。此選項指出是否允許使用者透過 Access Manager 認證。
按一下 [建立]。
一旦建立了使用者,您可以按一下使用者名稱來編輯使用者資訊。如需使用者屬性的資訊,請參閱「使用者」屬性。您可執行的其他修改:
按一下您要修改的使用者名稱。
選取角色或群組。僅會顯示已指定給使用者的角色與群組。
從 [可用的] 清單選取角色或群組並按一下 [增加]。
一旦角色或群組顯示於 [選取的] 清單中,按一下 [儲存]。
選取您要增加服務的識別。
按一下 [服務] 標籤。
按一下 [加入] 。
依據您所選取的識別類型,將顯示下列服務清單:
認證配置
探索服務
Liberty 個人設定檔服務
階段作業
使用者
選取您要增加的服務,並按 [下一步]。
編輯服務的屬性。如需有關服務的說明,請按一下步驟 4 中的服務名稱。
按一下 [完成]。
Access Manager 策略代理程式保護 Web 伺服器與 Web 代理伺服器上的內容以防止未授權的侵入。它們根據管理員所配置的策略控制對服務與 Web 資源的存取。
代理程式物件定義策略代理程式設定檔,可讓 Access Manager 儲存認證及其他與保護 Access Manager 資源之特定代理程式有關的設定檔資訊。經由 Access Manager 主控台,管理員可以檢視、建立、修改與刪除代理程式設定檔。
在代理程式物件建立頁面,可以定義代理程式認證至 Access Manager 所需的 UID/密碼。若您具有使用同一 Access Manager 建立的多重 Web 容器,您可以對不同代理程式啟用多重 ID,並由 Access Manager 個別地啟用與停用。您亦可集中管理代理程式的某些喜好設定值,而不需在每台機器上編輯 AMAgent.properties。
按一下 [代理程式] 標籤。
按一下 [開啟新檔] 。
輸入下列欄位值:
名稱。 輸入代理程式的名稱或識別。這是代理程式將用來登入 Access Manager 的名稱。不接受多位元的名稱。
密碼。 輸入代理程式密碼。此密碼必須與 LDAP 認證期間代理程式所使用的密碼不同。
確認密碼。確認密碼。
裝置狀態。輸入代理程式的裝置狀態。若設為 [使用中],代理程式將可以認證至 Access Manager,並與其通訊。若設為 [非使用中],代理程式將無法認證至 Access Manager。
按一下 [建立]。
一旦您建立了代理程式,您可以另外編輯下列欄位:
描述。輸入代理程式的簡要描述。例如,您可以輸入代理程式實例名稱或其保護的應用程式的名稱。
代理程式金鑰值。以一個「金鑰/值」對設定代理程式特性。此特性為 Access Manager 所使用,以接收有關使用者之憑證指定的代理程式請求。目前,僅有一個特性有效,且將忽略所有其他特性。請使用以下格式:
agentRootURL=protocol:// hostname:port/
此項目必須精確,而且 agentRootURL 大小寫相符。
代表所使用的通訊協定,可能是 HTTP 或 HTTPS。
代表代理程式所在電腦的主機名稱。這部電腦也託管代理程式所保護的資源。
代表安裝代理程式的連接埠號碼。代理程式在這個連接埠上偵聽內送的流量,並截取存取主機資源的所有請求。
Cookie 遭受劫持係指侵入者 (駭客,可能使用不受信任的應用程式) 對 Cookie 進行未經授權的存取。若被劫持的 Cookie 是階段作業 Cookie,視系統配置方式而定,Cookie 劫持可能增加對受保護 Web 資源的未經授權存取威脅。
Sun 文件提供一份技術說明,標題為「Precautions Against Session-Cookie Hijacking in an Access Management Deployment」,其中說明了要對抗與階段作業 Cookie 劫持有關的特定安全威脅可以採取的預防措施。請參閱下列文件:
「Technical Note: Precautions Against Cookie Hijacking in an Access Manager Deployment」
篩選的角色是使用 LDAP 篩選器建立的動態角色。建立角色時,所有使用者都會透過篩選器的篩選並指定給此角色。篩選器會在項目中尋找任何屬性值對 (例如,ca=user*),並自動將包含該屬性的使用者指定給角色。
於 [瀏覽] 窗格中,移至將建立角色的組織。
按一下 [開啟新檔] 。
輸入篩選角色的名稱。
輸入搜尋條件的資訊。
例如,
(&(uid=user1)(|(inetuserstatus=active)(!(inetuserstatus=*)))) |
若篩選器依預設為空白,將建立下列角色:
(objectclass = inetorgperson) |
按一下 [建立] 以根據篩選條件初始搜尋。由篩選條件定義的識別將自動地指定給角色。
一旦建立了篩選角色,按一下角色名稱以檢視屬於角色的使用者。您亦可按一下 [服務] 標籤來增加服務至角色。
角色的成員是角色的 LDAP 項目。角色自己的條件已定義為含屬性的 LDAP 項目,由項目的辨別名稱 (Distinguished Name, DN) 屬性所辨識。一旦建立了角色,您可以手動增加服務與使用者。
群組代表具有共同功能、特性或興趣的使用者集合。通常,此群組並無與之相關聯的權限。群組可存在於兩個層級;於組織內及於其他受管理群組內。