39.6 配置忘记口令管理

Identity Manager 安装中包含 Self Service Password Reset,可帮助您管理忘记口令的重设置过程。此外,您也可以使用外部口令管理系统。

39.6.1 使用 Self Service Password Reset 进行忘记口令管理

在大多数情况下,您可以在安装 SSPR 和 Identity Applications 时启用忘记口令管理功能。但是,有时您可能没有指定当口令更改后,SSPR 要将用户定向到的 Identity Applications 登录页 URL。此时,您也需要启用忘记口令管理。本节提供以下信息:

将 Identity Manager 配置为使用 Self Service Password Reset

本节提供了将 Identity Manager 配置为使用 SSPR 的相关信息。

  1. 登录到安装了 Identity Applications 的服务器。

  2. 运行 RBPM 配置实用程序。有关详细信息,请参见部分 40.1, 运行 Identity Applications 配置实用程序

  3. 在实用程序中,浏览到鉴定 > 口令管理

  4. 对于口令管理提供程序,请指定 SSPR

  5. 选择忘记口令

  6. 浏览到 SSO 客户端 > Self Service Password Reset

  7. 对于 OSP 客户端 ID,请指定要用于供鉴定服务器识别 SSPR 单点登录客户端的名称。默认值为 sspr

  8. 对于 OSP 客户端机密,请指定 SSPR 单点登录客户端的口令。

  9. 对于 OSP 重定向 URL,请指定在完成鉴定后,鉴定服务器要将浏览器客户端重定向到的绝对 URL。

    使用以下格式:protocol://server:port/path。例如,http://10.10.10.48:8180/sspr/public/oauth

  10. 保存更改并关闭实用程序。

为 Identity Manager 配置 Self Service Password Reset

本节提供了配置 SSPR 以与 Identity Manager 配合使用的相关信息。例如,您可能想要修改口令策略和询问应答问题。

如果您随 Identity Manager 一起安装了 SSPR,即已指定了管理员可用来配置应用程序的口令。NetIQ 建议您修改 SSPR 设置,然后指定可以配置 SSPR 的管理员帐户或组。有关配置口令的详细信息,请参见部分 32.0, 为 Identity Manager 安装口令管理

  1. 使用您在安装期间指定的配置口令登录到 SSPR。

  2. 在“设置”页面中,修改口令策略和询问应答问题的设置。有关配置 SSPR 设置默认值的详细信息,请参见《NetIQ Self Service Password Reset Administration Guide》(NetIQ Self Service Password Reset 管理指南)中的“Configuring Self Service Password Reset”(配置 Self Service Password Reset)。

  3. 锁定 SSPR 配置 文件 (SSPRConfiguration.xml)。有关锁定配置文件的详细信息,请参见锁定 SSPR 配置

  4. (可选)要在锁定配置后修改 SSPR 设置,必须在 SSPRConfiguration.xml 文件中将 configIsEditable 设置设为 true

  5. 从 SSPR 中注销。

  6. 要使更改生效,请重启动 Tomcat。

锁定 SSPR 配置

  1. 转到 http://<IP/DNS name>:<port>/sspr。此链接可将您转到 SSPR 门户。

  2. 使用管理员帐户登录到 Identity Manager,或使用现有的登录身份凭证登录。

  3. 单击页面顶部的配置管理器,然后指定您在安装期间指定的配置口令。

  4. 单击配置编辑器,然后浏览到设置 > LDAP 设置

  5. 锁定 SSPR 配置 文件 (SSPRConfiguration.xml)。

    1. 在“管理员许可权限”部分下,在身份库中以 LDAP 格式定义过滤器,以过滤对 SSPR 具有管理员权限的用户或组。默认情况下,该过滤器设置为 groupMembership=cn=Admins,ou=Groups,o=example

      例如,对于 User Application 管理员,请将它设置为 uaadmin (cn=uaadmin)。

      这可以防止用户修改 SSPR 中的配置,但具有完全权限可修改设置的 SSPR 管理员用户除外。

    2. 为确保 LDAP 查询返回结果,请单击查看匹配项

      如果设置中存在任何错误,则您无法继续设置下一个配置选项。SSPR 会显示错误细节,以帮助您进行问题查错。

    3. 单击保存

    4. 在弹出的确认窗口中,单击确定

      锁定 SSPR 后,管理员用户可以在“管理”用户界面中查看其他选项,例如“仪表板”、“用户活动”、“数据分析”等,而在锁定 SSPR 之前则不会显示这些选项。

  6. (可选)要在锁定配置后修改 SSPR 设置,必须在 SSPRConfiguration.xml 文件中将 configIsEditable 设置设为 true

  7. 从 SSPR 中注销。

  8. 步骤 3 中定义的管理员用户身份再次登录到 SSPR。

  9. 单击关闭配置,然后单击确定以确认更改。

  10. 要使更改生效,请重启动 Tomcat。

39.6.2 使用旧版提供程序进行忘记口令管理

您也可以不使用 SSPR,而是使用 Identity Manager 中的旧版提供程序实现忘记口令管理功能。如果选择了旧版提供程序,则不需要安装 SSPR。但是,您需要为用户重指派许可权限,使其能够访问共享页面以进行口令管理。本节提供执行以下活动的步骤:

有关旧版提供程序的详细信息,请参见部分 4.4.2, 了解旧式口令管理提供程序。有关共享页面和许可权限的详细信息,请参见《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理员指南)中的Page Administration(页面管理)。

配置旧版提供程序以进行忘记口令管理

  1. 登录到安装了 Identity Applications 的服务器。

  2. 运行 RBPM 配置实用程序。有关详细信息,请参见部分 40.1, 运行 Identity Applications 配置实用程序

  3. 在实用程序中,浏览到鉴定 > 口令管理

  4. 对于口令管理提供程序,请指定 User Application(旧版)

  5. 对于忘记口令,请指定内部

  6. 浏览到 SSO 客户端 > Self Service Password Reset

  7. OSP 重定向 URL 设置应该是空的。

  8. 保存更改并关闭实用程序。

重指派对口令管理页面的许可权限

在安装期间,Identity Applications 的设置默认为 SSPR。必须为允许访问用于管理口令的共享页面的用户、组或容器指派或重指派许可权限。向用户指派对某个容器页面或共享页面的查看许可权限后,用户便可以访问该页面,并能在可用页列表中看到该页。

  1. 确保 Identity Manager 使用的是旧版提供程序。有关详细信息,请参见配置旧版提供程序以进行忘记口令管理

  2. 以应用程序管理员身份登录到 User Application。例如,以 uaadmin 身份登录。

  3. 浏览到管理 > 页面管理

  4. 共享页面面板中,浏览到口令管理

  5. 选择要对其指定许可权限的页面。例如“更改口令”或“口令询问应答”。

  6. 在右侧面板中,单击指派许可权限

  7. 查看中,选择要指派到该页面的用户、组或容器。

  8. (可选)要确保只有应用程序管理员才能访问指定的页面,请选择仅为管理员设置的查看许可权限

  9. 单击保存

  10. 针对想要配置的每个页面,执行步骤 5步骤 9

  11. 选择主页图标返回仪表板。

  12. 导航到应用程序,然后选择

  13. 管理应用程序页面上,使用 UserApp PwdMgt 的链接替换指向 SSPR 的链接。

    有关详细信息,请参见部分 39.6.4, 针对分布式环境或群集环境更新仪表板中的 SSPR 链接Identity Applications 的帮助

  14. 从 User Application 注销,然后重启动 Tomcat。

39.6.3 使用外部系统进行忘记口令管理

要使用外部系统,必须指定包含“忘记口令”功能的 WAR 文件的位置。此过程包括以下活动:

指定外部忘记口令管理 WAR 文件

如果您在安装期间未指定此值,并想要修改设置,则您可以使用 RBPM 配置实用程序,或者以管理员身份在 User Application 中进行更改。

  1. (视情况而定)要在 RBPM 配置实用程序中修改设置,请完成以下步骤:

    1. 登录到安装了 Identity Applications 的服务器。

    2. 运行 RBPM 配置实用程序。有关详细信息,请参见部分 40.1, 运行 Identity Applications 配置实用程序

    3. 在实用程序中,浏览到鉴定 > 口令管理

    4. 对于口令管理提供程序,请指定 User Application(旧版)

  2. (视情况而定)要在 User Application 中修改设置,请完成以下步骤:

    1. 以 User Application 管理员身份登录。

    2. 浏览到管理 > 应用程序配置 > 口令模块设置 > 登录

  3. 对于忘记口令,请指定外部

  4. 对于忘记口令链接,请指定当用户在登录页面上单击忘记口令时所显示的链接。当用户单击此链接时,应用程序会将其定向到外部口令管理系统。例如:

    http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp

  5. 对于忘记口令返回链接,请指定用户执行完忘记口令过程后显示的链接。用户单击此链接,即可重定向到指定的链接。例如:

    http://localhost/IDMProv

  6. 对于忘记口令 Web 服务 URL,请指定外部转发口令 WAR 用来回调 Identity Applications 的 Web 服务 URL。使用以下格式: 

    https://idmhost:sslport/idm/pwdmgt/service

    返回链接必须使用 SSL,以确保与 Identity Applications 进行安全的 Web 服务通讯。有关详细信息,请参见配置应用程序服务器之间的 SSL 通讯

  7. 手动将 ExternalPwd.war 复制到运行外部口令 WAR 功能的远程应用程序服务器部署目录。

测试外部忘记口令 配置

如果您拥有外部口令 WAR 文件并想要通过访问“忘记口令”功能来测试该功能,可以在以下位置访问它:

  • 直接在浏览器中访问。转到外部口令 WAR 文件中的“忘记口令”页面。例如:http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp

  • 在 User Application 登录页面上,单击忘记口令链接。

配置应用程序服务器之间的 SSL 通讯

如果您使用的是外部口令管理系统,则必须在部署 Identity Applications 与外部忘记口令管理 WAR 文件的 Tomcat 实例之间配置 SSL 通讯。有关详细信息,请参见 Tomcat 文档。

39.6.4 针对分布式环境或群集环境更新仪表板中的 SSPR 链接

安装过程假设您要将 SSPR 部署在 Identity Applications 和 Identity Reporting 所在的同一个应用程序服务器上。默认情况下,仪表板中应用程序页面上的内置链接使用指向本地系统上 SSPR 的相对 URL 格式。例如:/sspr/private/changepassword。如果在分布式环境或群集环境中安装应用程序,则必须更新 SSPR 链接的 URL。

有关详细信息,请参见 Identity Applications 的帮助

  1. 以管理员身份登录仪表板。例如,以 uaadmin 身份登录。

  2. 单击编辑

  3. 在“编辑主页项目”页面上,将鼠标悬停在要更新的项目上,然后单击编辑图标。例如,选择更改我的口令

  4. 对于链接,请指定绝对 URL。例如:http://10.10.10.48:8180/sspr/changepassword

  5. 单击保存

  6. 对要更新的每个 SSPR 链接重复上述步骤。

  7. 完成后,单击我已完成

  8. 注销,然后以普通用户身份登录以测试更改。