test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

第 17 章 聯合管理方案

將討論下列主題:

使用聯合管理

聯合管理能讓使用者聚集他們的本機識別,以使他們有一個網路識別。聯合管理使用網路識別以允許使用者登入一個服務提供者的網站,並且不需要重新認證他們的識別即可存取其他服務提供者的網站。這稱為單次登入。

在入口伺服器上開啟模式和安全模式配置聯合管理。「Portal Server 管理指南」描述了如何在開放模式中配置聯合管理。於安全模式中使用 Portal Server Secure Remote Access 伺服器配置聯合管理之前,請確保聯合管理可在開啟模式中運作。如果您的使用者要在開啟模式和安全模式中從相同的瀏覽器中使用聯合管理,他們必須清除 cookie 並從瀏覽器進行快取。

如需「聯合管理」的詳細資訊,請參閱「Access Manager 聯合管理指南」。

聯合管理方案

使用者認證到一個初始的服務提供者。服務使用者是商業用途或是提供以網路為主之服務的非營利組織。此廣泛的種類可以包括網際網路入口網站、運輸提供者、金融機構、娛樂事業公司、圖書館、大學和政府行政機構。

服務提供者可以使用 cookie 以儲存使用者在用戶端瀏覽器的階段作業資訊。Cookie 也包含使用者的識別提供者。

識別提供者是在提供認證服務中指定的服務提供者。做為認證的管理服務,它們同時也維持並管理身份識別資訊。識別提供者所完成的認證受到隸屬於它的所有伺服器提供者所認可。

當使用者程式存取不隸屬於該識別提供者的服務時,此識別提供者會將該 cookie 轉寄給獨立的服務提供者。此服務提供者之後便可存取在 cookie 中呼叫的識別提供者。

然而,無法在不同的 DNS 網域間讀取 cookie。因此使用「共用網域 Cookie 服務」以重新導向服務提供者到正確的識別提供者,因此使用者就可以啟用單次登入。

配置聯合管理資源

聯合資源、服務提供者、識別提供者和共同網域 Cookie 服務 (CDCS) 在其所存在的閘道中設定檔中配置。這部分說明如何配置三個方案:

Procedure配置聯合管理資源

  1. 當所有資源位在企業內部網路時

  2. 當所有資源沒有位於企業內部網路,或識別提供者位於網際網路

  3. 當所有資源沒有位於企業網路,或當企業提供者受到閘道保護,且識別提供者是協力廠商並位於網際網路。

配置 1

在此配置中,服務提供者、識別提供者和「共用網域 Cookie 服務」都部署在相同的企業內部網路中,而識別提供者並未發佈到網際網路網域名稱伺服器 Domain Name Server (DNS) 中。CDCS 為選填項目。

在此配置中,閘道指向服務提供者,也就是 Portal Server。此配置對 Portal Server 的多重實例都有效。

Procedure配置閘道為服務提供者 (Portal Server)

  1. 以管理員身份登入 Portal Server 管理主控台。

  2. 選取 [Secure Remote Access] 標籤,並選取適當的閘道設定檔,以修改其屬性。

    便會顯示 [編輯閘道設定檔] 頁面。

  3. 選取 [核心] 標籤。

  4. 選取 [啟用 Cookie 管理] 核取方塊以啟用 cookie 管理。

  5. 選取 [安全性] 標籤。

  6. 在 Portal Server 欄位中,輸入 Portal Server 名稱,以使用相對 URL,例如:列於 [未驗證的 URL] 清單中的 /amserver/portal/dt。例如:

    http:// idp-host:port/amserver/js

    http:// idp-host:port/amserver/UI/Login

    http://idp-host:port /amserver/css

    http://idp-host:port /amserver/SingleSignOnService

    http://idp-host:port/amserver/UI/blank

    http://idp-host:port /amserver/postLogin

    http:// idp-host:port/amserver/login_images

  7. 在 Portal Server 欄位中輸入 Portal Server 名稱。例如 /amserver

  8. 按一下 [儲存]。

  9. 選取 [安全性] 標籤。

  10. 在 [未驗證的 URL] 清單中,新增聯合資源。例如:

    /amserver/config/federation

    /amserver/IntersiteTransferService

    /amserver/AssertionConsumerservice

    /amserver/fed_images

    /amserver/preLogin

    /portal/dt

  11. 按一下 [新增]。

  12. 按一下 [儲存]。

  13. 如果需要 Web 代理伺服器以連線至在 [未驗證的 URL] 清單中的 URL,請選取 [部署] 標籤。

  14. 在 [網域與子網域的代理伺服器] 欄位中,輸入所需的 Web 代理伺服器。

  15. 按一下 [新增]。

  16. 按一下 [儲存]。

  17. 從終端機視窗中,重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

配置 2

在此配置中識別提供者、識別提供者和共同網域 Cookie 提供者 (CDCP) 沒有部署於企業內部網路,或識別提供者是位於網際網路上的協力廠商。

在此配置中,閘道指向服務提供者,也就是 Portal Server。此配置對 Portal Server 的多重實例都有效。

Procedure配置閘道為服務提供者 (Portal Server)

  1. 以管理員身份登入 Portal Server 管理主控台。

  2. 選取 [Secure Remote Access] 標籤,並選取適當的閘道設定檔,以修改其屬性。

  3. 選取 [核心] 標籤。

  4. 選取 [啟用 Cookie 管理] 核取方塊以啟用 cookie 管理。

  5. 在 Portal Servers 欄位中,輸入服務提供者的入口網站伺服器名稱,以使用相對 URL,例如:列於 [未認證 URL] 清單中的 /amserver/portal/dt

    http://idp-host:port/amserver/js

    http://idp-host:port /amserver/UI/Login

    http://idp-host:port /amserver/css

    http:// idp-host:port/amserver/SingleSignOnService

    http://idp-host:port /amserver/UI/blank

    http://idp-host:port /amserver/postLogin

    http:// idp-host:port/amserver/login_images

  6. 按一下 [儲存]。

  7. 按一下 [安全性] 標籤。

  8. 在 [未認證 URL] 清單中,新增聯合資源。例如:

    /amserver/config/federation

    /amserver/IntersiteTransferService

    /amserver/AssertionConsumerservice

    /amserver/fed_images

    /amserver/preLogin

    /portal/dt

  9. 按一下 [新增]。

  10. 按一下 [儲存]。

  11. 如果需要 Web 代理伺服器以連線至在 [未驗證的 URL] 清單中的 URL,請選取 [部署] 標籤。

  12. 在 [網域與子網域代理伺服器] 欄位中,輸入 Web 代理伺服器的相關資訊。

  13. 按一下 [新增]。

  14. 按一下 [儲存]。

  15. 從終端機視窗中,重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>

配置 3

在此配置中識別提供者、識別提供者和共同網域 Cookie 提供者 (CDCP) 沒有部署於企業內部網路,或服務提供者是位於網際網路上的協力廠商,且識別提供者受到閘道保護。

在此配置中,閘道指向識別提供者,也就是 Portal Server。

此配置對 Portal Server 的多重實例都有效。此配置在網路上是不太可能發生的,然而,一些企業網路在其企業內部網路可能會有這樣的配置,也就是說,識別提供者可能位於由防火牆保護的子網路中,而伺服器提供者可以在企業網路中直接存取。

Procedure配置閘道至識別提供者 (Portal Server)

  1. 以管理員身份登入 Portal Server 管理主控台。

  2. 選取 [Secure Remote Access] 標籤,並選取適當的閘道設定檔,以修改其屬性。

  3. 選取 [核心] 標籤。

  4. 選取 [啟用 Cookie 管理] 核取方塊以啟用 cookie 管理。

  5. 在 Portal Servers 欄位中,輸入識別提供者的入口網站伺服器名稱,以使用相對 URL,例如:列於 [未認證 URL] 清單中的 /amserver/portal/dt

    http://idp-host:port/amserver/js

    http://idp-host:port /amserver/UI/Login

    http://idp-host:port /amserver/css

    http:// idp-host:port/amserver/SingleSignOnService

    http://idp-host:port /amserver/UI/blank

    http://idp-host:port /amserver/postLogin

    http:// idp-host:port/amserver/login_images

  6. 按一下 [儲存]。

  7. 選取 [安全性] 標籤。

  8. 在 [未認證 URL] 清單中,新增聯合資源。例如:

    /amserver/config/federation

    /amserver/IntersiteTransferService

    /amserver/AssertionConsumerservice

    /amserver/fed_images

    /amserver/preLogin

    /portal/dt

  9. 按一下 [新增]。

  10. 按一下 [儲存]。

  11. 如果需要 Web 代理伺服器以連線至在 [未驗證的 URL] 清單中的 URL,請選取 [部署] 標籤。

  12. 在 [網域與子網域代理伺服器] 欄位中,輸入 Web 代理伺服器的相關資訊。

  13. 按一下 [新增]。

  14. 按一下 [儲存]。

  15. 從終端機視窗中,重新啟動閘道:

    ./psadmin start-sra-instance –u amadmin – f <password file> –N <profile name>– t <gateway>