以下主题在讨论之列:
“联合管理”使用户能够将各自的本地身份聚合成为一个网络身份。“联合管理”通过该网络身份允许用户在一个服务提供者的站点上登录即可访问其他服务提供者的站点,而不必重新进行身份验证。这称为单点登录。
在 Portal Server 上,可在开放模式和安全模式中配置联合管理。Portal Server 管理指南描述了如何在开放模式中配置联合管理。在安全模式下使用 Portal Server Secure Remote Access 服务器配置“联合管理”之前,确保其工作于开放模式。如果要使用户既在开放模式中、又在安全模式中使用来自同一浏览器的“联合管理”,则他们必须清除 cookie 并从浏览器进行高速缓存。
有关“联合管理”的详细信息,参见 Access Manager 联合管理指南。
初始服务提供者对用户进行验证。服务提供者是提供网络服务的商业性或非盈利性组织。这一广泛的范畴可以包括网络门户、零售商、运输供应商、金融机构、娱乐公司、图书馆、高等院校和政府机构。
服务提供者使用 cookie 存储用户在客户机浏览器中的会话信息。cookie 还包括用户的身份认证提供者。
身份认证提供者是专门提供验证服务的服务提供者。作为验证的管理服务,他们也维护和管理身份信息。由身份认证提供者完成的验证得到了与其联合的所有服务提供者的认同。
当用户试图访问不属于该身份认证提供者的服务时,身份认证提供者将 cookie 发往相应的服务提供者。该服务提供者随后可以访问在 cookie 中调用的身份认证提供者。
然而,不能跨越不同的 DNS 域读取 cookie。因此“通用域 Cookie 服务”被用于将服务提供者重定向到正确的身份认证提供者,从而启用用户的单点登录。
可基于要配置内容所在的位置,在网关配置文件中配置联合资源、服务提供者、身份认证提供者和通用域 Cookie 服务(CDCS)。本节说明如何配置以下三种方案:
全部资源都在公司内联网内
全部资源都不在公司内联网内或者身份认证提供者驻留在 Internet 上。
全部资源都不在公司内联网内,或者身份认证提供者被网关保护而服务提供者又是驻留在 Internet 上的第三方。
在此配置中,服务提供者、身份认证提供者和“通用域 Cookie 服务”被部署在同一个公司内联网中并且不在 Internet“域名服务器” (DNS) 中发布身份认证提供者。CDCS 是可选的。
在此配置中,网关指向服务提供者 Portal Server。此配置对于多个 Portal Server 实例有效。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择相应的网关配置文件以修改其属性。
将显示“编辑网关配置文件”页面。
选择“核心”选项卡。
选中“启用 Cookie 管理”复选框以启用 cookie 管理。
选择“安全”选项卡。
在 Portal Server 字段中,输入 Portal Server 名称以使用相对 URL,例如:“免验证 URL”列表中列出的 /amserver 或 /portal/dt。例如:
http:// idp-host:port/amserver/js
http:// idp-host:port/amserver/UI/Login
http://idp-host:port /amserver/css
http://idp-host:port /amserver/SingleSignOnService
http://idp-host:port/amserver/UI/blank
http://idp-host:port /amserver/postLogin
http:// idp-host:port/amserver/login_images
在 Portal Server 字段中,输入 Portal Server 名称。例如,/amserver。
单击“保存”。
选择“安全”选项卡。
在“免验证 URL”列表中,添加联合资源。例如:
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
单击“添加”。
单击“保存”。
如果到达“免验证 URL”列表中列出的 URL 需要使用 Web 代理,请选择“部署”选项卡。
在“域和子域的代理”字段中,输入所需的 Web 代理。
单击“添加”。
单击“保存”。
从终端窗口重新启动网关:
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
在此配置中,服务提供者、身份认证提供者和“通用域 Cookie 提供者”(CDCP) 未部署在公司内联网中,或者身份认证提供者是驻留在 Internet 上的第三方提供者。
在此配置中,网关指向服务提供者 Portal Server。此配置对于多个 Portal Server 实例有效。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择相应的网关配置文件以修改其属性。
选择“核心”选项卡。
选中“启用 Cookie 管理”复选框以启用 cookie 管理。
在 Portal Server 字段中,输入服务提供者的门户服务器名称以使用相对 URL,例如:“免验证 URL”列表中列出的 /amserver 或 /portal/dt。
http://idp-host:port/amserver/js
http://idp-host:port /amserver/UI/Login
http://idp-host:port /amserver/css
http:// idp-host:port/amserver/SingleSignOnService
http://idp-host:port /amserver/UI/blank
http://idp-host:port /amserver/postLogin
http:// idp-host:port/amserver/login_images
单击“保存”。
单击“安全”选项卡。
在“免验证 URL”列表中,添加联合资源。例如:
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
单击“添加”。
单击“保存”。
如果到达“免验证 URL”列表中列出的 URL 需要使用 Web 代理,请选择“部署”选项卡。
在“域和子域的代理”字段中,输入有关 Web 代理的信息。
单击“添加”。
单击“保存”。
从终端窗口重新启动网关:
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>
在此配置中,服务提供者、身份认证提供者和“通用域 Cookie 提供者”(CDCP) 未部署在公司内联网中,或者服务提供者是驻留在 Internet 上的第三方提供者并且身份认证提供者受网关保护。
在此配置中,网关指向身份认证提供者 Portal Server。
此配置对于多个 Portal Server 实例有效。此配置在 Internet 上是不可能的,然而,一些公司网络可以在其内联网内采取这种配置,也即,身份认证提供者位于受防火墙保护的子网中,并且可从公司网络内部直接访问服务提供者。
以管理员身份登录到 Portal Server 管理控制台。
选择“Secure Remote Access”选项卡,然后选择相应的网关配置文件以修改其属性。
选择“核心”选项卡。
选中“启用 Cookie 管理”复选框以启用 cookie 管理。
在 Portal Server 字段中,输入身份认证提供者的门户服务器名称以使用相对 URL,例如:“免验证 URL”列表中列出的 /amserver 或 /portal/dt。
http://idp-host:port/amserver/js
http://idp-host:port /amserver/UI/Login
http://idp-host:port /amserver/css
http:// idp-host:port/amserver/SingleSignOnService
http://idp-host:port /amserver/UI/blank
http://idp-host:port /amserver/postLogin
http:// idp-host:port/amserver/login_images
单击“保存”。
选择“安全”选项卡。
在“免验证 URL”列表中,添加联合资源。例如:
/amserver/config/federation
/amserver/IntersiteTransferService
/amserver/AssertionConsumerservice
/amserver/fed_images
/amserver/preLogin
/portal/dt
单击“添加”。
单击“保存”。
如果到达“免验证 URL”列表中列出的 URL 需要使用 Web 代理,请选择“部署”选项卡。
在“域和子域的代理”字段中,输入有关 Web 代理的信息。
单击“添加”。
单击“保存”。
从终端窗口重新启动网关:
./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>