22.1 使用 Self Service Password Reset 进行忘记口令管理

在大多数情况下,您可以在安装 SSPR 和 Identity Applications 时启用忘记口令管理功能。但是,有时您可能没有指定当口令更改后,SSPR 要将用户定向到的 Identity Applications 登录页 URL。此时,您也需要启用忘记口令管理。本节提供以下信息:

22.1.1 将 Identity Manager 配置为使用 Self Service Password Reset

本节提供了将 Identity Manager 配置为使用 SSPR 的相关信息。

  1. 登录到安装了 Identity Applications 的服务器。

  2. 运行 RBPM 配置实用程序。有关详细信息,请参见部分 11.6.1, 运行 Identity Applications 配置实用程序

  3. 在实用程序中,浏览到鉴定 > 口令管理

  4. 对于口令管理提供程序,请指定 SSPR

  5. 选择忘记口令

  6. 浏览到 SSO 客户端 > Self Service Password Reset

  7. 对于 OSP 客户端 ID,请指定要用于供鉴定服务器识别 SSPR 单点登录客户端的名称。默认值为 sspr

  8. 对于 OSP 客户端机密,请指定 SSPR 单点登录客户端的口令。

  9. 对于 OSP 重定向 URL,请指定在完成鉴定后,鉴定服务器要将浏览器客户端重定向到的绝对 URL。

    使用以下格式:protocol://server:port/path。例如,http://10.10.10.48:8180/sspr/public/oauth

  10. 保存更改并关闭实用程序。

22.1.2 为 Identity Manager 配置 Self Service Password Reset

本节提供了配置 SSPR 以与 Identity Manager 配合使用的相关信息。例如,您可能想要修改口令策略和询问应答问题。

如果您随 Identity Manager 一起安装了 SSPR,即已指定了管理员可用来配置应用程序的口令。NetIQ 建议您修改 SSPR 设置,然后指定可以配置 SSPR 的管理员帐户或组。

注:如果您将 SSPR 安装在不同于 User Application 服务器的另一服务器上,请确保将 SSPR 应用程序证书添加到 User Application cacerts

  1. 使用您在安装期间指定的配置口令登录到 SSPR。

  2. 在“设置”页面中,修改口令策略和询问应答问题的设置。有关配置 SSPR 设置默认值的详细信息,请参见《NetIQ Self Service Password Reset Administration Guide》(NetIQ Self Service Password Reset 管理指南)中的“Configuring Self Service Password Reset”(配置 Self Service Password Reset)。

  3. 锁定 SSPR 配置 文件 (SSPRConfiguration.xml)。有关锁定配置文件的详细信息,请参见锁定 SSPR 配置

  4. (可选)要在锁定配置后修改 SSPR 设置,必须在 SSPRConfiguration.xml 文件中将 configIsEditable 设置设为 true

  5. 从 SSPR 中注销。

  6. 要使更改生效,请重启动 Tomcat。

22.1.3 锁定 SSPR 配置

  1. 转到 http://<IP/DNS name>:<port>/sspr。此链接可将您转到 SSPR 门户。

  2. 使用管理员帐户登录到 Identity Manager,或使用现有的登录身份凭证登录。

  3. 单击页面顶部的配置管理器,然后指定您在安装期间指定的配置口令。

  4. 单击配置编辑器,然后浏览到设置 > LDAP 设置

  5. 锁定 SSPR 配置 文件 (SSPRConfiguration.xml)。

    1. 在“管理员许可权限”部分下,在身份库中以 LDAP 格式定义过滤器,以过滤对 SSPR 具有管理员权限的用户或组。默认情况下,该过滤器设置为 groupMembership=cn=Admins,ou=Groups,o=example

      例如,对于 User Application 管理员,请将它设置为 uaadmin (cn=uaadmin)。

      这可以防止用户修改 SSPR 中的配置,但具有完全权限可修改设置的 SSPR 管理员用户除外。

    2. 为确保 LDAP 查询返回结果,请单击查看匹配项

      如果设置中存在任何错误,则您无法继续设置下一个配置选项。SSPR 会显示错误细节,以帮助您进行问题查错。

    3. 单击保存

    4. 在弹出的确认窗口中,单击确定

      锁定 SSPR 后,管理员用户可以在“管理”用户界面中查看其他选项,例如“仪表板”、“用户活动”、“数据分析”等,而在锁定 SSPR 之前则不会显示这些选项。

  6. (可选)要在锁定配置后修改 SSPR 设置,必须在 SSPRConfiguration.xml 文件中将 configIsEditable 设置设为 true

  7. 从 SSPR 中注销。

  8. 步骤 3 中定义的管理员用户身份再次登录到 SSPR。

  9. 单击关闭配置,然后单击确定以确认更改。

  10. 要使更改生效,请重启动 Tomcat。