Sun Identity Manager 8.1 业务管理员指南

用户验证

如果用户忘记了密码或重设了密码,该用户可通过回答一个或多个帐户验证问题来获得访问 Identity Manager 的权限。这些问题以及管理这些问题的规则是 Identity Manager 帐户策略的一部分,由您来设定。与密码策略不同,Identity Manager 帐户策略直接分配给用户或者通过分配给用户的组织分配给用户(在“创建用户”页和“编辑用户”页中)。

Procedure在帐户策略中设置验证

 1. 单击主菜单中的“安全性”,然后单击“策略”。

 2. 从策略列表中选择“默认 Identity Manager 帐户策略”。

  验证选项位于该页的 "Secondary Authentication Policy Options" 区域中。

  要点!首次设置时,用户应登录到“用户界面”并提供对验证问题的初始答案。如果不设置这些问题,用户必须使用密码才能成功登录。

  验证问题策略决定了用户执行以下操作时所发生的情况:在登录页上单击“忘记密码?”按钮或访问“更改我的回答”页。用户验证介绍了其中的每个选项。

  选项 

  描述 

  所有 

  要求用户回答所有策略定义的问题以及个性化问题。 

  任何 

  Identity Manager 将显示所有策略定义的问题以及个性化问题。必须指定用户必须回答的问题数量。 

  下一步 

  要求用户在首次登录时回答所有可能的策略定义问题。  

  如果用户在登录期间单击“忘记密码?”按钮,Identity Manager 将显示第一个问题。如果用户的回答不正确,Identity Manager 将显示下一个问题,直至用户正确回答了验证问题并登录,否则根据指定的失败尝试次数限制将其锁定。此策略不支持用户生成的问题。 

  随机 

  允许管理员指定用户必须回答的问题数。Identity Manager 将从策略中定义的问题以及用户定义的问题列表中随机选择并显示指定数量的问题。用户必须回答所有显示的问题。 

  循环 

  Identity Manager 从配置的问题列表中选择下一个问题,并将此问题分配给用户。为第一个用户分配验证问题列表中的第一个问题,为第二个用户分配第二个问题。此模式会一直持续下去,直至用户数超出问题数。此时,会按顺序依次将问题分配给用户。例如,如果共有 10 个问题,则将为第 11 个和第 21 个用户分配第一个问题。 

  仅显示选定的问题。如果您希望用户每次回答不同的问题,则需要使用“随机”策略,并将问题数设置为 1。 

  用户无法定义自己的验证问题。有关此功能的详细信息,请参见个性化验证问题

  可以检验您的验证选择,方法是:登录到 Identity Manager 用户界面,单击“忘记密码?”按钮,并回答显示的一个或多个问题。

  图 3–8 显示了“用户帐户验证”屏幕的示例。

  图 3–8 User Account Authentication

  该图显示了示例“用户帐户验证”屏幕。

个性化验证问题

在 Identity Manager 帐户策略中,您可以选择一个选项,以允许用户在用户界面和管理员界面中提供自己的验证问题。此外,可以设置用户必须提供并回答的最小问题数以便使用个性化的验证问题成功登录。

然后用户可以在 "Change Answers to Authentication Questions" 页添加和更改问题。图 3–9 显示了此页的示例。

图 3–9 更改答案:个性化验证问题

该图显示了示例“更改验证问题回答”页

验证后忽略更改密码质询

用户回答一个或多个问题成功通过验证后,默认情况下,系统会要求该用户提供一个新密码。但是,可以通过为一个或多个 Identity Manager 应用程序设置 bypassChangePassword 系统配置属性,来配置 Identity Manager 忽略更改密码质询。

有关编辑系统配置对象的说明,请参见编辑 Identity Manager 配置对象

要在成功验证后忽略所有应用程序的更改密码质询,请在系统配置对象中将 bypassChangePassword 属性设置如下:


示例 3–2 设置属性以忽略更改密码质询

<Attribute name="ui" 
 <Object>
  <Attribute name="web">
   <Object> 
    <Attribute name=’questionLogin’>
     <Object>
      <Attribute name=’bypassChangePassword’>
       <Boolean>true</Boolean>
      </Attribute>
     </Object>
    </Attribute>
  ...
 </Object>
...

要对特定应用程序禁用此密码质询,请将其设置如下:


示例 3–3 设置属性以禁用更改密码质询


<Attribute name="ui">
 <Object>
  <Attribute name="web">
   <Object>
    <Attribute name=’user’>
     <Object>
      <Attribute name=’questionLogin’>
       <Object>
        <Attribute name=’bypassChangePassword’>
         <Boolean>true</Boolean>
        </Attribute>
       </Object>
      </Attribute>
     </Object>
    </Attribute>
   ... 
 </Object> 
...