目錄
|
核心認證屬性
核心認證模組是所有預設認證模組的基本模組,也是任何自訂認證模組屬性的基本模組。必須為每個希望使用任何形式認證的組織配置核心認證服務。核心認證屬性由全域屬性與組織屬性組成。套用於全域屬性的值也套用於整個 Sun Java System Access Manager 配置,並且由每個配置的組織繼承。(由於全域屬性的目標是自訂 Access Manager 應用程式,因此這些值無法直接套用於角色或組織。)在服務配置下套用於組織屬性的值將成為核心認證範本的預設值。組織加入服務後,需要建立服務範本。加入服務後,組織的管理員可以變更預設值。組織屬性不會由組織中的項目繼承。核心認證屬性分為:
全域屬性
核心認證模組中的全域屬性包括:
可插接式認證模組類別
此欄位指定 Access Manager 平台內部配置的所有組織均可以使用的認證模組的 Java 類別。依預設,包含 LDAP、SafeWord、SecurID、應用程式、匿名、HTTP Basic、成員身份、Unix、證書、NT、RADIUS 以及 Windows Desktop SSO。您可以透過實施 AMLoginModule SPI 或 JAAS LoginModule SPI 寫入自訂認證模組。如需更多資訊,請參閱「Access Manager Developer’s Guide」。 若要定義新的服務,此欄位的值必須是指定每個新認證模組之完整類別名稱 (包括套裝軟體名稱) 的文字字串。
用戶端支援的認證模組
此屬性指定特定用戶端支援的認證模組清單。格式如下所示:
clientType | module1,module2,module3
此屬性在啟用了用戶端偵測時有效。
LDAP 連線區大小
此屬性指定在特定 LDAP 伺服器與連接埠上使用的最小與最大連線區。 此屬性僅用於 LDAP 與成員身份認證模組。格式如下所示:
host:port:min:max
預設 LDAP 連線區大小
此屬性設定與所有 LDAP 認證模組配置一同使用的連線區預設最小值與最大值。如果 [LDAP 連線區大小] 屬性中存在主機與連接埠的項目,則不會使用 [LDAP 預設連線區大小] 中的最小與最大設定。
組織屬性
核心認證模組中的組織屬性包括:
組織認證模組
此清單指定組織可以使用的認證模組。每個管理員可為每個特定組織選擇認證類型。雖然多重認證模組的使用很靈活,但是使用者必須確定其登入設定適用於選取的認證模組。預設認證模組為 LDAP。 Access Manager 包含的認證模組有:
使用者設定檔
此選項允許您為使用者設定檔指定選項。
管理員認證配置
按一下編輯連結將允許您僅為管理員定義認證模組。管理員是指需要 Access Manager 主控台存取權限的使用者。如果需要管理員的認證模組與一般使用者的認證模組有所不同,則可以使用此屬性。 此屬性中配置的模組將在存取 Access Manager 主控台時被挑選出來。例如:
http://servername.port/console_deploy_uri
使用者設定檔動態建立預設角色
如果在使用者設定檔特性中選取了 [動態建立],則此欄位指定被分配了新使用者的角色,且此新使用者的設定檔已建立。此欄位沒有預設值。管理員必須指定將分配給新使用者的角色之 DN。
啟用永久性的 Cookie 模式
此選項確定使用者是否可以重新啟動瀏覽器,並且仍然返回至其經過認證的階段作業。可以透過啟用 [啟用永久性的 Cookie 模式] 保留使用者階段作業。啟用了 [啟用永久性的 Cookie 模式] 時,使用者階段作業在其永久性的 Cookie 過期或者該使用者明確登出後才會過期。過期時間在 [永久性的 Cookie 最大時間] 中指定。 預設值是未啟用永久性的 Cookie 模式,並且認證模組僅使用記憶體 Cookie。
永久性的 Cookie 最大時間
此欄位指定永久性的 Cookie 多長時間後會過期。(必須透過選取 [啟用永久性的 Cookie 模式] 的核取方塊來啟用它。)這一間隔時間在成功認證使用者階段作業後開始。預設值為 2147483 (時間以秒計算)。此欄位可以是 0 與 2147483 之間的任何整數值。
所有使用者的個人容器
使用者成功認證後,將擷取使用者設定檔。此欄位中的值指定搜尋設定檔的位置。通常,此值將為預設個人容器的 DN。加入至組織的所有使用者項目會自動加入至組織的預設個人容器。預設值為 ou=People,通常使用組織名稱與根字尾組成此值。此欄位可以接受任何組織單元的有效 DN。
備註
認證透過以下方法搜尋使用者設定檔:
最後一種搜尋適用於 SSO 情形,此時用於認證的使用者名稱可能不是設定檔中的命名屬性。例如,使用者可以使用 jn10191 的 Safeword ID 認證,但是設定檔為 uid=jamie。
別名搜尋屬性名稱
使用者成功認證後,將擷取使用者設定檔。如果依據使用者命名屬性中指定的首選 LDAP 屬性執行的搜尋,無法找到相符的使用者設定檔,則此欄位會指定另一個要從中搜尋的 LDAP 屬性。此屬性將主要在從認證模組傳回的使用者識別不同於 [使用者命名屬性] 中指定的識別時使用。例如,RADIUS 伺服器可能會傳回 abc1234,但是使用者名稱卻為 abc。此屬性沒有預設值。此欄位將接受任何有效的 LDAP 屬性 (例如,cn)。
使用者命名屬性
使用者成功認證後,將擷取使用者設定檔。此屬性的值指定要用於搜尋的 LDAP 屬性。依預設,Access Manager 將假定使用者項目是由 uid 屬性識別的。如果 Directory Server 使用的是其他屬性 (例如 givenname),請在此欄位中指定屬性名稱。
預設認證語言環境
此欄位指定認證模組要使用的預設語言子類型。預設值為 en_US。在表 0-1 中可找到有效語言子類型的清單。
為了使用其他語言環境,必須首先建立此語言環境的所有認證範本。然後必須為這些範本建立新目錄。 請參閱「Access Manager Developer’s Guide」中的第 3 章「Authentication Service」,以取得更多資訊。
組織認證配置
此屬性設定組織的認證模組。預設認證模組為 LDAP。可以透過按一下 [編輯] 連結,選取一個或多個認證模組。如果選取了多個模組,則使用者必須通過所有選取模組的鏈接。
當使用者使用 /server_deploy_uri/UL/Login 格式存取認證模組時,將使用在此屬性中配置的模組進行認證。請參閱「Access Manager Developer’s Guide」,以取得更多資訊。
啟用登入失敗鎖定模式
此功能指定使用者在首次認證嘗試失敗後是否可以再次嘗試。選取此屬性會啟用鎖定,使用者僅有一次認證的機會。依預設,鎖定功能是停用的。此屬性同與鎖定相關的屬性以及通知屬性配合使用。
登入失敗鎖定計數
此屬性定義在 [登入失敗鎖定間隔時間] 所定義的時間間隔內,使用者在鎖定之前可以嘗試進行認證的次數。
登入失敗鎖定間隔時間
此屬性定義兩次登入嘗試失敗之間的時間 (以分鍾為單位)。如果某次登入失敗,並且在鎖定間隔時間內再次登入失敗,則增加鎖定計數。否則重設鎖定計數。
接收鎖定通知的電子郵件位址
此屬性指定將接收使用者鎖定通知的電子郵件位址。若要將電子郵件通知傳送至多重位址,請使用空格分隔每個電子郵件位址。 如果不是英文語言環境,其格式為:
email_address|locale|charset
N 次失敗後警告使用者
此屬性指定在 Access Manager 傳送使用者將被鎖定的警告訊息之前,可以發生的認證失敗次數。
登入失敗鎖定持續時間
此屬性啟用記憶體鎖定。依預設,鎖定機制將使 [鎖定屬性名稱] 中定義的 [使用者設定檔] 處於非作用中 (登入失敗後)。如果 [登入失敗鎖定持續時間] 的值大於 0,則其記憶體鎖定和使用者帳戶將被鎖定一段指定的時間 (分鐘)。
鎖定屬性名稱
此屬性指定要被設定為鎖定的所有 LDAP 屬性。還必須變更 [鎖定屬性值] 中的值以啟用此屬性名稱的鎖定。 依預設,Access Manager 主控台中的 [鎖定屬性名稱] 為空。當使用者被鎖定且 [登入失敗鎖定持續時間] 設定為 0 時,預設實施值為 inetuserstatus (LDAP 屬性) 和 inactive。
鎖定屬性值
此屬性指定啟用還是停用 [鎖定屬性名稱] 中定義之屬性的鎖定。依預設,inetuserstatus 的值設定為非作用中。
預設成功登入 URL
此欄位接受一個多重值清單,該清單指定認證成功後使用者將重新導向至的 URL。此屬性格式為 clientType|URL,但您僅指定假設為 HTML 預設類型的 URL 值。
預設失敗登入 URL
此欄位接受一個多重值清單,該清單指定認證失敗後使用者將重新導向至的 URL。此屬性格式為 clientType|URL,但您僅指定假設為 HTML 預設類型的 URL 值。
認證處理後類別
此欄位指定 Java 類別名稱,用於自訂登入成功或失敗的認證後程序。例如︰
com.abc.authentication.PostProcessClass
Java 類別必須實施以下 Java 介面:
com.sun.identity.authentication.spi.AMPostAuthProcessInterface
此外,您必須將此類別所在位置的路徑加入到 Web Server 的 [Java 類別路徑] 屬性中。
啟用產生使用者 ID 模式
成員身份認證模組使用此屬性。如果啟用了此屬性欄位,則成員身份模組能夠在自行註冊過程中,產生特定使用者的多個使用者 ID (如果使用者 ID 已經存在)。這些使用者 ID 是從可插接式使用者名稱產生器類別中指定的 Java 類別產生的。
可插接式使用者名稱產生器類別
此欄位指定啟用了 [啟用產生使用者 ID 模式] 時,用來產生使用者 ID 的 Java 類別之名稱。
預設認證層級
認證層級值指示信任認證的程度。使用者進行認證後,此值便會儲存在階段作業的 SSO 記號中。SSO 記號呈現給使用者要存取的應用程式時,該應用程式可以使用儲存的值以確定此層級是否達到了允許使用者存取的層級。如果儲存在 SSO 記號中的認證層級不滿足最小值需求,應用程式可以提示使用者透過具有較高認證層級的服務重新進行認證。
應該在組織的特定認證範本中設定認證層級。僅當在 [認證層級] 欄位中尚未指定特定組織認證範本的任何認證層級時,此處描述的 [預設認證層級] 值才適用。 [預設認證層級] 預設值為 0。(Access Manager 並不使用此屬性中的值,而是由可能選擇使用它的任何外部應用程式使用。)
目錄 |