本節解釋必須在用戶端執行的作業:
將討論下列主題:
若要與產生器提供的 Portlet 通訊,用戶需要增加已配置的產生器。如果產生器需要註冊,請使用以下方法增加已配置的產生器:
輸入註冊特性值 (頻帶內註冊)
輸入註冊控點 (頻帶外註冊)
如果產生器不需要註冊,則增加已配置產生器時不需要用戶輸入任何詳細資訊。
選取 [入口網站] 標籤。
在 [入口網站] 中選取入口網站伺服器。
按一下 [WSRP] 標籤。
選取任何 DN 並按一下 [新增]。
鍵入已配置的產生器名稱。選取識別傳遞機制。預設為選取 [無]。
識別傳遞機制可讓用戶入口網站的使用者向產生器入口網站提供其憑證。使用者透過此機制在用戶入口網站和產生器入口網站之間聯合識別。
鍵入 WSDL URL,並按 [下一步]。
您也可以根據產生器或 Portlet 搜尋 WSDL URL。只有產生器已發佈時,搜尋結果才會顯示產生器的 WSDL URL。
如果產生器需要註冊,您有兩種方式可以註冊產生器:輸入註冊特性值 (頻帶內註冊) 或輸入註冊控點 (頻帶外註冊)。按 [下一步]。
如果您在步驟 7 中選取第一個方法,則輸入註冊特性,並按 [下一步]。如果您選取第二個方法,則輸入透過頻帶外通訊取得的註冊控點,並按 [下一步]。
檢閱詳細資訊,並按一下 [完成]。
psadmin create-configured-producer
識別傳遞是一種機制,WSRP 用戶透過此機制將使用者識別提供給 WSRP 產生器 Web 服務。它是一種聯合機制,使用者可將其識別在用戶與產生器之間聯合。在成功聯合後,用戶入口網站會將使用者識別傳遞至產生器入口網站。從用戶收到使用者憑證後,WSRP 產生器會驗證憑證,然後允許或拒絕存取指定使用者環境中的資源。
使用者有兩個入口網站識別。也就是,一個是產生器入口網站的識別,一個是用戶入口網站的識別。使用者使用提供的識別傳遞機制聯合這些識別。這便為用戶入口網站和產生器入口網站提供單次登入機制。當使用者透過用戶入口網站登入入口網站時,使用者會得到直接登入產生器入口網站時所取得的內容。使用者使用聯合識別所做的變更,將在使用者登入產生器入口網站時生效。
Sun Java System WSRP 產生器支援以下識別傳遞:
SSO 記號:如果產生器入口網站和用戶入口網站連線至同一個 Access Manager 實例,則選取此選項。一般建議用於產生器入口網站和用戶入口網站部署在同一個組織中的配置。
WSS 使用者名稱記號設定檔 (僅使用者名稱):使用 WSS 規格,其中將使用者名稱做為 WS 安全性標頭,從用戶入口網站傳遞至產生器入口網站。
WSS 使用者名稱記號設定檔 (含密碼摘要):WS 安全性標頭傳送以產生器為目標的使用者 ID,並帶有 [摘要] 格式的密碼。
WSS 使用者名稱記號設定檔 (含密碼文字):WS 安全性標頭傳送以產生器為目標的使用者 ID,並帶有 [文字] 格式的密碼。
在上述清單中,最後三個選項會實作「OASIS WSS 使用者名稱」記號設定檔規格。此規格說明如何搭配 Web 服務使用「使用者名稱記號」。WSS 規格說明 Web 服務用戶如何透過以使用者名稱識別請求者,以及選擇性使用密碼向 Web 服務產生器認證識別的方式,來提供使用者記號。
許多入口網站供應商支援並實作 OASIS WSS 使用者名稱記號設定檔規格。當需要互通的功能時,使用三個選項中的一個。
Portal Server 中有兩個識別傳遞機制層級。首先,用戶入口網站的管理員會發現產生器入口網站支援其中一個上述指定的識別傳遞機制。管理員可允許使用者傳送其識別。Portal Server 用戶支援所有上述的「識別傳遞機制」。
建立用戶後,管理員必須根據用戶支援的識別傳遞機制來建立遠端通道。當通道可於使用者桌面上使用後,通道即準備好接受識別傳遞。
在產生器處會自動設定識別傳遞機制。Portal Server 會先檢查 Sun SSO 的認證,接著是 OASIS 使用者名稱記號設定檔,然後是「無識別傳遞」模式。
只有新使用者在執行 configuration 指令將 LDAP 密碼以一般文字格式存放後,才可使用「摘要密碼」功能。
建立用戶時應選擇 [使用者身份識別傳遞機制] 的 [WSS 使用者名稱記號設定檔 (含 PasswordDigest)] 選項。
Web Services SSO Portlet 必須加以編輯以選取適當的 Web 服務 URL (產生器),並提供新的使用者名稱和密碼。
按照以下步驟配置 Sun Java System WSRP 產生器以接受摘要密碼。
執行指令 /opt/SUNWdsee/ds6/bin/dscfg set-server-prop pwd-storage-scheme:CLEAR 以變更 Directory Server 的密碼儲存模式,以儲存一般文字密碼。
假設 Directory Server 的預設安裝位置是 /opt/SUNWdsee。
在 AM 主控台中建立新使用者,以確定可使用含密碼摘要的使用者記號設定檔。
使用 [WSS 使用者名稱記號設定檔 (含 PasswordDigest)] 時,在產生器入口網站和用戶入口網站之間的通訊應該是安全的,因為用戶和產生器之間的密碼是以一般文字傳送的。
兩個指向同一個產生器 URL 的不同用戶應使用相同的識別傳遞機制類型。
如果使用者使用識別傳遞機制,那麼您可以建立使用者記號設定檔來認證使用者憑證。您可以為產生器所提供的特定 Web 服務定義使用者名稱和密碼。
登入 Portal Server 桌面。
在 WebServices SSO Portlet 中,按一下 [編輯] 按鈕。
在 [建立新的用戶記號設定檔] 區段中,選取您要建立使用者記號設定檔的 Web 服務 URL。
輸入使用者名稱和密碼。按一下 [新增]。
您也可以編輯或移除現有的使用者記號設定檔。
用戶配置產生器後,可使用 [更新服務描述] 選項更新日後對產生器所做的任何變更。例如,增加新 Portlet 或在註冊後變更註冊特性。
選取 [入口網站] 標籤。
在 [入口網站] 中選取入口網站伺服器。
按一下 [WSRP] 標籤。
選取 DN (Distinguished Name,辨別名稱)。
按一下已配置產生器的連結。
在 [編輯已配置產生器] 螢幕中,按一下 [更新服務描述]。
psadmin update-configured-producer-service-description
WSRP 支援產生器服務描述中所包含的使用者種類的概念。將使用者種類對映至角色,可讓使用者將在用戶入口網站中定義的角色對映至在 Portlet 中定義的角色。Sun Java System Portal Server 將 Java System Access Manager 的角色對映至 Portlet 的角色。這些角色可對映至對應的 WSRP 使用者種類。
您可以執行下列作業:
部署 Portlet 時可在 Portlet 中定義角色。
在 Portlet 中定義的角色必須存在於產生器的 Access Manger 中。
以下作業會在 Sun Java System Access Manager 的 AM 主控台和 Portlet 中建立角色。
登入 Access Manager 主控台。
建立角色,並將使用者增加至角色。
在 Portlet 應用程式的 webxml 中,增加以下程式碼:
<security-role>
<role-name>PS_TEST_DEVELOPER_ROLE<role-name>
</security-role>
在入口網站的 portlet.xml 中增加以下幾行。
<security-role-ref>
<role-name>PS_TEST_DEVELOPER_ROLE<role-name>
<role-link>PS_TEST_DEVELOPER_ROLE<role-link>
</security-role-ref>
建立 Portlet 應用程式 war 檔案。
使用以下項目建立角色檔案。
cn\=AM_TEST_DEVELOPER_ROLE,o\=DeveloperSample,dc\=india,dc\=sun,dc\=com=PS_TEST_DEVELOPER_ROLE
使用以下指令部署 Portlet。
/opt/SUNWportal/bin/psadmin deploy-portlet -u amadmin -f ps_password -d "o=DeveloperSample,dc=india,dc=sun,dc=com" -p portal1 -i stockprice-8080 --rolesfile rolesfile TestPortlet.war
按照以下步驟將使用者種類對映至角色:
在 [用戶] 標籤中,按一下產生器名稱連結。
[編輯已配置產生器] 螢幕顯示以下內容:使用者種類:產生器 Portlet 中的角色。本機角色:在用戶的 Sun Java System Access Manager 中定義的角色。
在 [使用者種類至角色對映] 區段中,將使用者種類對映至在用戶處定義的角色,再按一下 [確定]。
WSRP 用戶的 Sun Java System Portal Server 實作將存放在 Sun Java System Directory Server 使用者項目上的一般使用者屬性對映至 WSRP 規格強制的使用者屬性標準集。
如果用戶 Portlet 使用任何未在 LDAP 模式中指定的屬性,則建立自訂物件類別以存放這些屬性,並將此物件類別新增至使用者項目。建立屬性後,使用 Sun Java System Access Manager 管理主控台將 LDAP 屬性對映至對應的 WSRP 屬性。
必須為用戶和 Web 容器 XML 檔案配置代理伺服器。
您可以執行下列作業:
執行 ./cacaoadm get-param java-flags。
複製值,並貼至 ./cacaoadm set-param java-flags。
現在將下列內容新增至指令:-Dhttp.proxyHost= webcache.canada.sun.com -Dhttp.proxyPort=8080 -Dhttp.proxyUser= Proxyuser -Dhttp.proxyPassword=Password
按 Enter 鍵。
重新啟動共用代理程式容器伺服器。