第 12 章安全性

本章提供有關 Identity Manager 安全性功能的資訊，並詳細說明您可以採取以進一步降低安全性風險的步驟。

檢閱下列主題以瞭解有關使用 Identity Manager 管理系統安全性的詳細資訊。

安全性功能

即時停用帳號存取 - Identity Manager 讓您透過單一動作即可停用組織或個人的存取權限。

登入階段作業限制 - 您可以設定對同步運作之登入階段作業的限制。

使用中的風險分析 - Identity Manager 會經常掃描是否有非使用中的帳號及可疑密碼作業等安全性風險。

全面的密碼管理 - 完整且靈活的密碼管理權能可確保能夠實施完整的存取控制。

監視存取作業的稽核與報告 - 您可以執行各類報告來提供有關存取作業的有針對性的資訊 (請參閱第 8 章「報告」，以取得有關報告功能的更多資訊)。

細化管理權限控制 - 您可以為使用者指定單一權能，或指定一系列透過管理員角色定義的管理責任，從而在 Identity Manager 中授予管理控制並進行管理。

伺服器金鑰加密 - Identity Manager 可讓您透過 [作業] 區域建立與管理伺服器加密金鑰。

此外，系統架構也會儘可能地尋求降低安全性風險的機會。例如，登出後即無法透過瀏覽器的 [上一頁] 功能存取先前造訪過的頁面。

限制同步運作的登入階段作業

依預設，Identity Manager 使用者可以具有同步運作的登入階段作業。不過，您可以開啟系統配置物件進行修改 (更多... ) 並編輯 security.authn.singleLoginSessionPerApp 配置屬性的值，以將同步運作的階段作業限制為每一個登入應用程式一個階段作業。該屬性是包含每個登入應用程式名稱 (例如，管理員介面、使用者介面或 Identity Manager IDE) 的一個屬性的物件。將此屬性的值變更為 true，即可強制每個使用者採用單一登入階段作業。

如果已執行，則使用者可登入至多個階段作業；但只有最後的登入階段作業保持為使用中且有效。如果使用者對無效的階段作業執行動作，則會自動被迫離開階段作業並終止階段作業。

密碼管理

管理變更管理

從多個位置 ([編輯使用者]、[尋找使用者] 或 [變更密碼] 頁面) 變更使用者密碼

在任何一個可進行細化資源選取的使用者資源上變更密碼

管理密碼重設

產生隨機密碼

對一般使用者或管理員顯示密碼

使用者變更密碼

透過以下 URL 為一般使用者提供密碼變更自助功能

http://localhost:8080/idm/user

您可以選擇自訂自助網頁，使其符合一般使用者的環境

使用者更新資料

設定一般使用者管理的任何使用者模式屬性

使用者存取回復

使用認證答案授與使用者變更其密碼的存取權限

使用通過式認證授與使用者藉由使用幾個密碼之一進行存取的權限

密碼策略

使用規則定義密碼參數

通過式認證

使用通過式認證授予使用者和管理員透過一個或多個不同密碼進行存取的權限。Identity Manager 透過實作以下內容來管理認證：

登入應用程式 (登入模組群組的集合)

登入模組群組 (登入模組的有序集合)

登入模組 (為每個指定的資源設定認證，並指定多個認證成功需求之一)

關於登入應用程式

登入應用程式定義登入模組群組的集合，登入模組群組進一步定義使用者登入 Identity Manager 時所使用之登入模組的集合和順序。每個登入應用程式均包括一個或多個登入模組群組。

登入時，登入應用程式會檢查登入模組群組集。如果只設定一個登入模組群組，則會使用該群組，且它所包含的登入模組會以群組定義的順序處理。如果登入應用程式中包含多個已定義的登入模組群組，則 Identity Manager 會檢查套用至每個登入模組群組的登入限制規則，以確定要處理哪個群組。

登入限制規則

登入限制規則會套用至登入模組群組。對於每一個在登入應用程式中登入的模組群組，只有一個群組是無法讓登入限制規則套用的。

Identity Manager 會計算第一個登入模組群組的限制規則，以決定要處理一個集合中的哪一個登入模組群組。如果成功，則會處理該登入模組群組。如果失敗，則它會輪流計算每個登入模組群組，直到某個限制規則成功或是已經計算發現某個不包含限制規則的登入模組群組 (並在隨後使用)。

登入限制規則範例

在下列位置型登入限制規則範例中，規則會從 HTTP 標頭中取得請求程式的 IP 位址，然後檢查它是否位於 192.168 網路上。如果在 IP 位址中找到 192.168.，則規則將傳回 true 值，並且會選取此登入模組群組。


備註	如果登入應用程式包含多個登入模組群組，則沒有登入限制規則的登入模組群組應放在模組集的最後一個位置。

編碼樣例 12-1 基於位置的登入限制規則


<Rule authType='LoginConstraintRule' name='Sample On Local Network'>
<match>
<ref>remoteAddr</ref>
<s>192.168.</s>
</match>
<MemberObjectGroups>
<ObjectRef type='ObjectGroup' name='All'/>
</MemberObjectGroups>
</Rule>

編輯登入應用程式

從功能表列選取 [安全性]，然後選取 [登入] 以存取 [登入] 頁面。

每一個定義的 Identity Manager 登入應用程式 (介面)

包含登入應用程式的登入模組群組

針對各登入應用程式所設定的 Identity Manager 階段作業逾時限制

建立自訂登入應用程式

刪除自訂登入應用程式

管理登入模組群組

設定 Identity Manager 階段作業限制

在 [修改登入應用程式] 頁面中，您可以為每個 Identity Manager 登入階段作業設定逾時值 (限制)。選取時、分和秒數後，再按一下 [儲存]。您建立的限制會顯示在登入應用程式清單中。

您可以設定每個 Identity Manager 登入應用程式的階段作業逾時。當使用者登入 Identity Manager 應用程式時，即會使用目前配置的階段作業逾時值，計算使用者階段作業因未作業而將在未來哪個日期與時間逾時。接著，計算出來的日期會儲存在使用者的 Identity Manager 階段作業中，以便在每次提出請求時可供檢查。

若登入管理員變更了登入應用程式階段作業逾時值，則該值對未來所有的登入作業都將有效。現有階段作業的逾時值將取決於使用者登入時的有效值。

針對 HTTP 逾時所設定的值會影響所有 Identity Manager 應用程式，而且優先於登入應用程式階段作業的逾時值。

停用對應用程式的存取

從 [建立登入應用程式] 和 [修改登入應用程式] 頁面，您可以選取 [停用] 選項以停用登入應用程式，從而阻止使用者登入。若使用者嘗試登入已停用的應用程式，則會將使用者重新導向至替代頁面，說明應用程式目前已停用。您可以透過編輯自訂目錄來編輯顯示在此頁面上的訊息。

在您取消選取該選項之前，登入應用程式將保持停用狀態。為安全起見，您無法停用管理員登入。

編輯登入模組群組

每個登入模組群組

組成登入模組群組的個別登入模組

登入模組群組是否包含限制規則

在 [登入模組群組] 頁面中，您可以建立、編輯和刪除登入模組群組。請從清單中選取登入模組群組，以進行編輯。

編輯登入模組

如下輸入登入模組的詳細資訊或進行選取 (不是所有選項都可用於每個登入模組)。

登入成功條件 - 選取適用於此模組的需求。選項包括：

必要 - 此登入模組為成功認證的必要模組。無論認證是成功或失敗，認證程序都會進行清單中的下一個登入模組。如果僅有一個登入模組，則管理員可成功登入。

必需 - 此登入模組為成功認證的必要模組。如果認證成功，則認證程序會進行清單中的下一個登入模組。如果失敗，則認證將不會繼續進行。

足夠 - 此登入模組不是成功認證的必要模組。如果認證成功，則認證程序並不會繼續進行下一個登入模組，但管理員可成功登入。如果認證失敗，則認證會繼續進行清單上的下一個登入模組。

選擇性 - 此登入模組不是成功認證的必要模組。無論認證是成功或失敗，認證程序都會繼續清單中的下一個登入模組。

登入搜尋屬性 - (僅限 LDAP)。指定要在嘗試連結 (登入) 至相關聯的 LDAP 伺服器時，使用的已排序 LDAP 使用者屬性名稱清單。每一個指定的 LDAP 使用者屬性，連同使用者指定的登入名稱，可用於搜尋相符的 LDAP 使用者 (依序)。如此可在將 Identity Manager 配置為傳遞至 LDAP 時，允許使用者使用 LDAP cn 或電子郵件地址登入 Identity Manager。

例如，如果您指定：

cn
mail

而使用者嘗試以 gwilson 登入，則 LDAP 資源將首先嘗試尋找 cn=gwilson 的 LDAP 使用者。如果成功，則會嘗試使用由使用者指定的密碼登入。如果不成功，則 LDAP 資源將搜尋 mail=gwilson 的 LDAP 使用者。如果還是失敗，則無法登入。

如果未指定值，則預設 LDAP 搜尋屬性為：

uid
cn

登入相互關聯規則 - 選取登入相互關聯規則，以用於將使用者所提供的登入資訊對映至 Identity Manager 使用者。使用規則中所指定的邏輯，可將此規則用於搜尋 Identity Manager 使用者。規則必須傳回一個或多個用於搜尋符合該規則的 Identity Manager 使用者的 AttributeConditions。選取的規則必須具有 LoginCorrelationRule authType。如需有關 Identity Manager 用以對映認證使用者 ID 與 Identity Manager 使用者之步驟的說明，請參閱登入模組處理邏輯。

新的使用者名稱規則 - 選取在登入過程中自動建立新的 Identity Manager 使用者時，所使用的新使用者命名規則。

按一下 [儲存] 以儲存登入模組。儲存之後，就可以決定此模組與登入模組群組中所有其他模組的相對位置。



警告	如果將 Identity Manager 登入配置為可透過認證登入多個系統，則為 Identity Manager 認證目標的所有系統上，帳號的使用者 ID 和密碼皆需相同。如果使用者 ID 和密碼的組合不同，則如果登入系統時的使用者 ID 和密碼與 Identity Manager [登入使用者] 表單中所輸入者不相符，登入將會失敗。其中某些系統具有鎖住策略，可強制執行失敗登入嘗試次數策略，一旦超過即需鎖定帳號。在這些系統中，即便使用者透過 Identity Manager 登入持續成功，最終仍將鎖定使用者帳號。

登入模組處理邏輯

編碼樣例 12-2 包含虛擬程式碼，說明 Identity Manager 用以對映認證使用者 ID 與 Identity Manager 使用者的步驟。

編碼樣例 12-2 說明登入模組處理邏輯的虛擬程式碼


if an existing IDM user's ID is the same as the specified user ID
if that IDM user has a linked resource whose resource name matches the resource that was authenticated and whose accountId matches the resource accountId returned by successful authentication (e.g. dn), then we have found the right IDM user
otherwise if there is a LoginCorrelationRule associated with the configured login module
evaluate it to see if it maps the login credentials to a single IDM user
otherwise login fails
otherwise login fails
if the specified userID does not match an existing IDM user's ID
try to find an IDM user that has a linked resource whose resource name matches the resource accountID returned by successful authentication
if found, then we have found the right IDM user
otherwise if there is a LoginCorrelationRule associated with the configured login module
evaluate it to see if it maps the login credentials to a single IDM user
otherwise login fails
otherwise login fails

在編碼樣例 12-2 中，系統會嘗試使用使用者的連結資源 (資源資訊)，尋找相符的 Identity Manager 使用者。然而，如果資源資訊方式失敗但已配置 loginCorrelationRule，則系統會嘗試使用 loginCorrelationRule 尋找相符的使用者。

配置共用資源的認證

若有多個邏輯上相同的資源 (例如共用信任關係的多部 Active Directory 網域伺服器)，或有多個位於相同實體主機上的資源，則可以指定這些資源是共用資源。

您應該宣告共用資源，讓 Identity Manager 知道它一次只應該嘗試驗證一組資源。否則，若使用者鍵入錯誤的密碼，則 Identity Manager 會嘗試針對每個資源使用相同的密碼。這樣即使使用者只鍵入一次錯誤的密碼，也會因多次登入失敗而鎖定使用者的帳號。

運用共用資源，使用者可以向一個共用資源進行認證，而 Identity Manager 會自動嘗試將使用者對映至共用資源群組中其餘的資源。例如，Identity Manager 使用者帳號可能會連結至資源 AD-1 的資源帳號。但登入模組群組可能會定義使用者必須向資源 AD-2 進行認證。

若 AD-1 和 AD-2 定義為共用資源 (在此情況下，是位於相同的信任的網域中)，則若使用者向 AD-2 認證成功，Identity Manager 只要在資源 AD-1 上尋找相同的使用者帳號 ID，也可以將使用者對映至 AD-1。


備註	所有列在共用資源群組中的資源，也必須併入登入模組定義中。若完整的共用資源清單也未出現在登入模組定義中，則共用資源功能將無法正確運作。

您可以使用下列格式，將共用資源定義於「系統配置」物件中 (更多... )：

編碼樣例 12-3 配置共用資源的認證


<Attribute name=common resources>
<Attribute name=Common Resource Group Name>
<List>
<String>Common Resource Name</String>
<String>Common Resource Name</String>
</List
</Attribute>
</Attribute>

配置 X509 憑證認證

必要條件

若要在 Identity Manager 中支援基於 X509 憑證的認證，請確定已正確配置雙向 (用戶端與伺服器) SSL 認證。從用戶端的角度，這表示符合 X509 規範的使用者憑證應已匯入瀏覽器中 (或可透過智慧卡讀取器使用)，而用於簽署使用者憑證的可信任憑證應已匯入 Web 應用程式伺服器的可信任憑證金鑰存放區中。

若要確認是否已選取用戶端憑證的用戶端認證選項，請執行以下步驟：

使用 Internet Explorer，選取 [工具]，然後選取 [網際網路選項]。

選取 [內容] 標籤。

在 [憑證] 區域中，按一下 [憑證]。

選取用戶端憑證，然後按一下 [進階]。

在 [憑證目的] 區域中，確認選取 [用戶端認證] 選項。

配置 Identity Manager 中 X509 憑證認證

若要配置 Identity Manager 進行 X509 憑證認證，請執行以下步驟：

以 [配置人] 的身份 (或具同等權限的身份) 登入 [管理員介面]。

選取 [配置]，然後選取 [登入]，以顯示 [登入] 頁面。

按一下 [管理登入模組群組]，以顯示 [登入模組群組] 頁面。

在清單中選取登入模組群組。

在 [指定登入模組...] 清單中，選取 [識別系統 X509 憑證登入模組]。Identity Manager 會顯示 [修改登入模組] 頁面。

設定登入成功需求。可接受的值如下：

必需 - 此登入模組為成功認證的必要模組。如果認證成功，則認證程序會進行清單中的下一個登入模組。如果失敗，則認證將不會繼續進行。

選擇性 - 此登入模組不是成功認證的必要模組。無論認證是成功或失敗，認證程序都會繼續清單中的下一個登入模組。

選取登入相互關聯規則。此規則可以是內建的規則或自訂相互關聯規則。(請參閱下節獲得有關建立自訂相互關聯規則的資訊)。

按一下 [儲存] 返回 [修改登入模組群組] 頁面。

或者，重新安排登入模組的順序 (如果登入模組群組中已指定多個登入模組)，然後按一下 [儲存]。

如果尚未指定，則將登入模組群組指定給登入應用程式。在 [登入模組群組] 頁面上，按一下 [返回登入應用程式]，再選取登入應用程式。將登入模組群組指定給應用程式後，按一下 [儲存]。



備註	如果將 waveset.properties 檔案中的 allowLoginWithNoPreexistingUser 選項設定為 true 值，則當配置 Identity Manager X509 憑證登入模組時，系統會提示您選取 [新的使用者名稱規則]。此規則用於確定如何命名相關的登入相互關聯規則找不到使用者時建立的新使用者。 [新的使用者名稱規則] 可用的輸入引數與 [登入相互關聯規則] 相同。它會傳回單一字串，此字串會成為用於建立新 Identity Manager 使用者帳號的使用者名稱。在 idm/sample/rules 中含有新使用者名稱規則的範例，名稱為 NewUserNameRules.xml。

建立並匯入登入相互關聯規則

Identity Manager X509 憑證登入模組會使用登入相互關聯規則，決定如何將憑證資料對映至適當的 Identity Manager 使用者。Identity Manager 包含內建相互關聯規則，名稱為 Correlate via X509 Certificate subjectDN。

您也可以增加您自己的關聯規則。請參閱位於 idm/sample/rules 目錄中的 LoginCorrelationRules.xml 當作範例。每一個相互關聯規則必須遵守這些指導原則：

其 authType 屬性必須設為 LoginCorrelationRule。

預期傳回 AttributeConditions 清單的實例，登入模組會使用此實例找到相關的 Identity Manager 使用者。例如，登入相互關聯規則可能傳回 AttributeCondition，它會根據電子郵件地址搜尋相關的 Identity Manager 使用者。

標準 X509 憑證欄位 (例如 subjectDN、issuerDN 和有效日期)

關鍵和非關鍵性的延伸特性

cert.subjectDN

cert.issuerDN

cert.notValidAfter

cert.notValidBefore

cert.serialNumber

使用傳入引數的登入相互關聯規則，會傳回一個或多個 AttributeConditions 的清單。[識別系統 X509 憑證登入模組] 會使用這些清單找到相關的 Identity Manager 使用者。

在 idm/sample/rules 中包含登入相互關聯規則的範例，名為 LoginCorrelationRules.xml。

建立自訂相互關聯規則後，您必須將它匯入 Identity Manager。從 [管理員介面] 中選取 [配置]，然後選取 [匯入交換檔案]，以使用檔案匯入功能。

測試 SSL 連線

若要測試 SSL 連線，請透過 SSL 連線到配置的應用程式介面之 URL (例如 https://idm007:7002/idm/user/login.jsp)。您會被告知您將進入安全的網站，並提示您指定要傳送給 Web 伺服器的個人憑證。

診斷問題

透過 X509 憑證而發生的認證問題會在登入表單上以錯誤訊息的形式報告。如需完整的診斷，請在 Identity Manager 伺服器上對於以下類別和層級進行追蹤：

com.waveset.session.SessionFactory 1

com.waveset.security.authn.WSX509CertLoginModule 1

com.waveset.security.authn.LoginModule 1

若用戶端憑證屬性在 HTTP 請求中的名稱不是 javaxservlet.request.X509Certificate，則會收到一則訊息，指出在 HTTP 請求中找不到此屬性。

啟用 SessionFactory 的追蹤，以查看完整的 HTTP 屬性清單，並找出 X509 憑證的名稱。

使用 Identity Manager 除錯設備 (更多... ) 編輯 LoginConfig 物件。

將 Identity Manager X509 憑證登入模組之 <LoginConfigEntry> 中的 <AuthnProperty> 的名稱變更為正確名稱。

儲存，然後重試。

您可能還需要先移除，然後再重新增加登入應用程式中的 Identity Manager X509 憑證登入模組。

加密使用和管理

加密用於確保記憶體和儲存庫中伺服器資料以及在伺服器和閘道之間傳輸的所有資料的機密性和完整性。

以下各節提供了有關如何在 Identity Manager 伺服器和閘道中使用和管理加密的更多資訊，並闡述了有關伺服器和閘道加密金鑰的問題。

受加密保護的資料

下表顯示了在 Identity Manager 產品中受加密保護的資料類型，包括用於保護每種類型資料的密碼。

表 12-1 受加密保護的資料類型
資料類型	RSA MD5	NIST Triple DES 168 位元金鑰 (DESede/ECB/NoPadding)	PKCS#5 基於密碼的加密 56 位元金鑰 (PBEwithMD5andDES)
伺服器加密金鑰		預設	配置選項1
閘道加密金鑰		預設	配置選項 1
策略字典字詞	是
使用者密碼		是
使用者密碼歷程記錄		是
使用者回覆		是
資源密碼		是
資源密碼歷程記錄	是
伺服器和閘道之間的所有有效負載		是

1透過系統配置物件 (更多... ) 的 pbeEncrypt 屬性或 [管理伺服器加密] 作業進行配置。

伺服器加密金鑰問題與回覆

請閱讀以下各節，以取得有關伺服器加密金鑰來源、位置、維護和使用的常見問題的回覆。

伺服器加密金鑰來自何處？

伺服器加密金鑰是對稱的 triple-DES 168 位元金鑰。伺服器支援兩種類型的金鑰：

預設金鑰 - 此金鑰已編譯為伺服器代碼。

隨機產生的金鑰 - 此金鑰可以在伺服器初始啟動時、或在目前金鑰可能出現安全性問題時產生。

在何處維護伺服器加密金鑰？

伺服器加密金鑰是在儲存庫中維護的物件。在任何給定儲存庫中都會有許多資料加密金鑰。

伺服器如何知道使用哪個金鑰對已加密資料進行解密和重新加密？

儲存在儲存庫中的每一份加密資料都以伺服器加密金鑰 (用於加密該資料) 的 ID 為前綴。將包含加密資料的物件讀入記憶體後，Identity Manager 會使用與加密資料的 ID 前綴關聯的伺服器加密金鑰進行解密，然後使用相同的金鑰重新加密 (如果資料已變更)。

如何更新伺服器加密金鑰？

Identity Manager 提供了名為「管理伺服器加密」的作業。此作業允許經授權的安全管理員執行多項金鑰管理作業，包括：

產生新的「目前」伺服器金鑰

依類型重新加密包含帶有「目前」伺服器金鑰的已加密資料的現有物件

請參閱本章中的「管理伺服器加密」，以取得有關如何使用此作業的更多資訊。

如果變更「目前」伺服器金鑰，會對現有加密資料造成什麼影響？

沒有影響。仍將使用加密資料的 ID 前綴參照的金鑰對現有加密資料進行解密或重新加密。如果產生新的伺服器加密金鑰並設定為「目前」金鑰，則任何要加密的新資料都將使用該伺服器金鑰。

為避免發生多金鑰問題以及為維護更高層級的資料完整性，請使用 [管理伺服器加密] 作業對所有具有「目前」伺服器加密金鑰的現有加密資料重新加密。

當您匯入的加密資料沒有加密金鑰可用時，會發生什麼狀況？

若您將含有加密資料的物件匯入至儲存庫，但加密該資料時所使用的金鑰並不在此儲存庫中，則資料仍可匯入，但無法進行解密。

如何保護伺服器金鑰？

如果伺服器未配置為使用密碼加密 (PBE) - PKCS#5 加密 (透過 pbeEncrypt 屬性或 [管理伺服器加密] 作業在系統配置物件中設定)，則使用預設金鑰加密伺服器金鑰。對於安裝的所有 Identity Manager，預設金鑰都是相同的。

如果伺服器配置為使用 PBE 加密，則每次啟動伺服器時都會產生一個 PBE 金鑰。透過提供一個密碼 (從伺服器特定的秘密產生) 作為 PBEwithMD5andDES 密碼來產生 PBE 金鑰。PBE 金鑰僅在記憶體中維護，並且從不具有永久性。另外，PBE 金鑰對於共用一個共同儲存庫的所有伺服器都是相同的。

若要啟用伺服器金鑰的 PBE 加密，密碼 PBEwithMD5andDES 必須可用。依預設，Identity Manager 不包含此密碼，但此密碼採用 PKCS#5 標準，許多 JCE 提供者實作 (例如 Sun 和 IBM 提供的實作) 中都提供了該標準。

我可以匯出伺服器金鑰以安全地儲存在外部嗎？

可以。如果伺服器金鑰是 PBE 加密的，則在匯出之前，將使用預設金鑰對其進行解密和重新加密。這使得它們可以獨立於本機伺服器 PBE 金鑰而被稍後匯入相同或其他伺服器中。如果使用預設金鑰加密伺服器金鑰，則在匯出之前不需要任何預先處理。

將金鑰匯入伺服器後，如果該伺服器配置為使用 PBE 金鑰，則將解密這些金鑰。然後，如果該伺服器配置為使用 PBE 金鑰加密，則將使用本機伺服器的 PBE 金鑰重新加密這些金鑰。

哪些資料會在伺服器和閘道之間進行加密？

在伺服器和閘道之間傳輸的所有資料 (有效負載) 都由針對伺服器-閘道階段作業隨機產生的對稱 168 位元金鑰進行 triple-DES 加密。

閘道金鑰問題與回覆

請閱讀以下各節，以取得有關閘道來源、儲存、分發和保護的常見問題的回覆。

加密或解密資料的閘道金鑰來自何處？

每次 Identity Manager 伺服器連線至閘道時，初始訊號交換都將產生新的隨機 168 位元 triple-DES 階段作業金鑰。此金鑰將用於加密或解密所有在該伺服器和該閘道之間傳輸的後續資料。對於每個伺服器/閘道對，產生的階段作業金鑰都是唯一的。

如何將閘道金鑰分發至閘道？

階段作業金鑰由伺服器隨機產生，然後在伺服器和閘道之間安全地進行交換，方法是使用作為初始伺服器至閘道訊號交換的一部分的共用秘密主金鑰對階段作業金鑰進行加密。

在初始訊號交換時，伺服器會查詢閘道以確定閘道支援的模式。閘道可以在兩種模式中作業

預設模式 -使用已編譯為伺服器代碼的預設 168 位元 triple-DES 金鑰，對伺服器至閘道的初始協定訊號交換進行加密。

安全模式 -針對每個共用儲存庫產生一個隨機 168 位元 triple-DES 閘道金鑰，並作為初始信號交換協定的一部分用於在伺服器和閘道之間進行通訊。此閘道金鑰像其他加密金鑰一樣儲存在伺服器儲存庫中，並儲存在閘道的本機登錄中。

伺服器在安全模式中連絡閘道時，伺服器將使用閘道金鑰加密測試資料並將其傳送至閘道。然後，閘道將嘗試解密測試資料，將一些閘道唯一資料增加至測試資料，重新加密這些資料，並將資料傳回伺服器。如果伺服器可以成功解密測試資料和閘道唯一資料，則伺服器將產生伺服器-閘道唯一階段作業金鑰，使用閘道金鑰對其進行加密並將其傳送至閘道。收到之後，閘道將解密階段作業金鑰並將其保留，以供在伺服器至閘道階段作業中使用。如果伺服器無法成功解密測試資料和閘道唯一資料，則伺服器將使用預設金鑰加密閘道金鑰並將其傳送至閘道。閘道將使用在預設金鑰中編譯的閘道金鑰解密閘道金鑰，並將該閘道金鑰儲存在其登錄中。然後，伺服器將使用閘道金鑰加密伺服器-閘道唯一階段作業金鑰並將其傳送至閘道，以供在伺服器至閘道階段作業中使用。

之後，閘道將僅接受來自已使用其閘道金鑰加密階段作業金鑰的伺服器的請求。啟動時，閘道將檢查登錄中是否有金鑰。如果有，則使用它。如果沒有，則使用預設金鑰。閘道在登錄中設定金鑰後，將不再允許使用預設金鑰建立階段作業。這將阻止某些人設定惡意伺服器和建立至閘道的連線。

我可以更新用於加密或解密伺服器至閘道有效負載的閘道金鑰嗎？

Identity Manager 提供了名為「管理伺服器加密」的作業，其允許經授權的安全管理員執行多項金鑰管理作業，包括產生新的「目前」閘道金鑰和使用該「目前」閘道金鑰更新所有閘道。這是用於加密每個階段作業金鑰 (用於保護在伺服器和閘道之間傳輸的所有有效負載) 的金鑰。根據系統配置 (更多... ) 中的 pbeEncrypt 屬性值，使用預設金鑰或 PBE 金鑰來加密新產生的閘道金鑰。

閘道金鑰儲存在伺服器、閘道的什麼地方？

在伺服器上，閘道金鑰就像伺服器金鑰一樣儲存在儲存庫中。在閘道上，閘道金鑰儲存在本機登錄機碼中。

如何保護閘道金鑰？

保護閘道金鑰的方式與保護伺服器金鑰的方式相同。如果伺服器配置為使用 PBE 加密，則將使用 PBE 產生的金鑰加密閘道金鑰。如果該選項為 False，則將使用預設金鑰對其進行加密。請參閱前述標題為「如何保護伺服器金鑰？」的章節，以取得更多資訊。

我可以匯出閘道金鑰以安全地儲存在外部嗎？

如何銷毀伺服器和閘道金鑰？

透過從伺服器儲存庫中刪除伺服器和閘道金鑰即可將其銷毀。請註意，只要仍在使用某金鑰加密伺服器資料或仍有閘道依賴於該金鑰，就不應該刪除該金鑰。使用「管理伺服器加密」作業重新加密所有具有目前伺服器金鑰的伺服器資料，並同步化目前的閘道金鑰與所有閘道，以確保在刪除任何舊的金鑰之前未在使用該舊金鑰。

管理伺服器加密

Identity Manager 伺服器加密功能可讓您建立新的 3DES 伺服器加密金鑰，然後使用 3DES 或 PKCS#5 加密對這些金鑰進行加密，如下圖所示。只有具有安全管理員權能的使用者才可以執行 [管理伺服器加密] 作業 (從 [伺服器作業] 標籤存取此作業)。

選取 [執行作業]，然後從清單中選取 [管理伺服器加密]，以為此作業配置以下資訊：

更新伺服器加密金鑰的加密 - 選取此選項即可指定使用預設方法 (即 3DES) 加密，還是使用或 PKCS#5 加密對伺服器加密金鑰進行加密。當您選取此選項時，會出現兩個加密選項 (預設值和 PKCS#5)；請選擇其中之一。

產生新的伺服器加密金鑰，並將其設為目前的伺服器加密金鑰 - 選取此選項可產生新的伺服器加密金鑰。在您選取此選項後所產生的每一部分加密資料，都將使用此金鑰進行加密。產生新的伺服器加密金鑰，並不會影響套用至現有加密資料的金鑰。

選取要以目前伺服器加密金鑰來重新加密的物件類型 - 選取一個或多個 Identity Manager 物件類型 (如資源或使用者)，以使用目前的加密金鑰重新加密。

管理閘道金鑰 - 選取此選項後，頁面會顯示下列閘道金鑰選項：

產生新金鑰並同步化所有閘道
初始啟用安全閘道環境時選取此選項。此選項會產生新的閘道金鑰，並傳送給所有閘道。

使用目前的閘道金鑰同步化所有閘道
選取此選項以同步化所有新閘道或尚未與新閘道金鑰通訊的閘道。如果所有閘道都已使用目前的閘道金鑰同步化，但是有一個閘道已關閉，或是您要強制新閘道更新金鑰時，請選取這個選項。

匯出伺服器加密金鑰作為備份 - 選取此選項即可將現有的伺服器加密金鑰匯出為 XML 格式的檔案。當您選取此選項時，Identity Manager 會顯示額外的欄位，以供您指定匯出金鑰的路徑和檔案名稱。



備註	如果您要使用 PKCS#5 加密，而且選擇產生和設定新的伺服器加密金鑰的話，您也應選取此選項。除此之外，您還應該將匯出的金鑰儲存在可移除的媒體上，並存放在安全的位置 (請勿放在網路上)。

執行模式 - 選取要在背景 (預設選項) 還是在前景執行此作業。如果您選擇以新產生的金鑰重新加密一個或多個物件類型，則此作業可能需要花費一點時間，並且最好在背景中執行。

使用授權類型保護物件安全

一般會使用 AdminGroup 權能中指定的權限，授予對 Identity Manager objectType (例如 [配置]、[規則] 或 TaskDefinition) 的存取權。不過，授予對一個或多個所控制的組織內 Identity Manager objectType 之所有物件的存取權，有時範圍仍然過大。

使用授權類型 (AuthType) 可讓您進一步設定範圍，或限制對指定 Identity Manager objectType 之物件子集的此存取權。例如，填入規則以從使用者表單中進行選取時，可能不想讓使用者能存取控制範圍內的所有規則。

若要定義新的授權類型，請編輯 Identity Manager 儲存庫中的 AuthorizationTypes 配置物件，並新增 <AuthType> 元素。此元素需要兩種特性：

新授權類型的名稱

新元素延伸或設定範圍的現有授權類型或 objectType

例如，若想要新增名稱為 Marketing Rule 的新的規則授權類型以延伸 Rule，則請定義下列項目：

接下來，若要啟用要使用的授權類型，則必須在兩個位置參照該授權類型。

位於將一個或多個權限授予新授權類型的自訂 AdminGroup 權能內

位於應該為此類型的物件內

第一個範例顯示授予對 Marketing Rules 之存取權的 AdminGroup 權能定義。

編碼樣例 12-4

</Permissions>

</AdminGroups>

</AdminGroup>

下一個範例顯示 Rule 定義，此定義因為已授予使用者對 Rule 或 Marketing Rule 的存取權，所以使用者可以存取物件。


備註	若授予任何使用者存取權，使其可存取父系授權類型或授權類型所延伸的靜態類型，則此使用者對所有子授權類型也擁有相同的權限。因此，使用上一個範例，所有已獲得對 Rule 之權限的使用者，也對 Marketing Rule 擁有相同的權限。但反之則不然。

安全性使用方案

身為 Identity Manager 管理員，您只要在設定時或以後執行以下建議步驟，即可進一步減少受保護帳號和數據的安全性風險。

設定時

使用 HTTPS 透過安全 Web 伺服器存取 Identity Manager。

重設預設 Identity Manager 管理員帳號 (管理員與 Configurator) 的密碼。若要進一步確保這些帳號的安全性，您可以將它們重新命名。

限制對 Configurator 帳號的存取。

將管理員的權能集限制為只能執行為實現其作業功能所需要的動作，可透過設定組織階層來限制管理員權能。

變更 Identity Manager 索引儲存庫的預設密碼。

開啟稽核以追蹤 Identity Manager 應用程式中的作業。

編輯對 Identity Manager 目錄中檔案的權限。

自訂工作流程以插入核准或其他檢查點。

開發回復程序來描述如何在緊急狀況下回復您的 Identity Manager 環境。

在使用期間

定期變更預設 Identity Manager 管理員帳號 (管理員和 Configurator) 的密碼。

目前未使用系統時登出 Identity Manager。

設定或瞭解 Identity Manager 階段作業的預設逾時期間。因為可針對每個登入應用程式以個別方式進行設定，因此階段作業逾時的值可能不同。

若應用程式伺服器與 Servlet 2.2 相容，則 Identity Manager 安裝程序會將 HTTP 階段作業逾時設為預設值 30 分鐘。您可以編輯屬性來變更此值；但您應該將該值設定為一個較低的值以增加安全性。不要將該值設定為高於 30 分鐘。

上一頁目錄索引下一頁
Sun[TM] Identity Manager 8.0 管理