为了提供单点登录访问 (SSO),Identity Manager 使用了鉴定服务 NetIQ One SSO Provider (OSP)。您必须对下列组件使用 OSP:
Catalog Administrator
Identity Manager 仪表板
Identity Reporting
Self-Service Password Reset
User Application
Identity Manager 和 Identity Manager 集成安装程序的 .iso 映象都包含安装 OSP 的方法。有关安装 OSP 的详细信息,请参见部分 32.0, 为 Identity Manager 安装口令管理。
OSP 支持 OAuth2 规范,并需要一个使用 OAuth 协议进行鉴定的 LDAP 鉴定服务器。默认情况下,Identity Manager 使用身份库 (eDirectory)。OSP 可以与其他类型的鉴定源或身份库通讯,以处理鉴定请求。但是,特定源必须使用 OAuth 协议。您可以配置希望 OSP 使用的鉴定类型:userID 和口令、Kerberos 或 SAML。不过,OSP 不支持 MIT 样式的 Kerberos 或 SAP 登录票据。
如果您使用身份库作为鉴定服务,并且身份库中的指定容器具有 CN 和口令,则授权用户在 Identity Manager 安装好后便可立即登录其中。如果没有这些登录帐户,则只有安装期间指定的管理员可以立即登录。
当用户登录其中一个基于浏览器的组件时,此过程会将用户的名称/口令对重定向到 OSP 服务,该服务随即会查询鉴定服务器。服务器会验证用户身份凭证。随后,OSP 将 OAuth2 访问令牌发给该组件和浏览器。浏览器会在用户的会话期间使用该令牌来提供对任何基于浏览器的组件的 SSO 访问权。
如果您使用 Kerberos 或 SAML,OSP 会接受来自 Kerberos 票据服务器或 SAML IDP 的鉴定,然后将 OAuth2 访问令牌发给用户所登录的组件。
OSP 和 Kerberos 可确保用户能够登录系统一次,以便使用其中一个 Identity Applications 及 Identity Reporting 创建会话。如果用户的会话超时,授权会自动进行,而无需用户的干预。注销之后,用户应始终关闭浏览器以确保其会话结束。否则,应用程序会将用户重定向到登录窗口,并且 OSP 会重新对该用户会话进行授权。
要让 OSP 与 SSO 正常运作,您必须安装 OSP。然后指定客户端用于访问每个组件的 URL、将验证请求重定向到 OSP 的 URL,以及鉴定服务器的设置。您可以在安装期间或安装之后使用 RBPM 配置实用程序来提供此信息。您还可以指定 Kerberos 票据服务器或 SAML IDP 的设置。
有关配置鉴定和单点登录访问的详细信息,请参见部分 XV, 在 Identity Manager 中配置单点登录访问。在群集中,所有群集成员的配置设置都必须相同。
Identity Manager 使用支持在 OSP 服务与鉴定服务器之间进行 http 和 https 通讯的密钥存储区。密钥存储区是在您安装 OSP 时创建的。您也可以创建一个口令,供 OSP 服务用于与鉴定服务器进行授权交互。有关详细信息,请参见部分 32.0, 为 Identity Manager 安装口令管理。
OSP 会生成单个事件,来说明用户何时登录或注销 User Application 或 Identity Reporting:
003E0204(登录)
003E0201(注销)
然后,XDAS 分类法会将这些 OSP 事件解释为登录/注销或 SOAP 调用 User Application 成功,或者是“不成功”。