Identity Manager 安装中包含 Self Service Password Reset,可帮助您管理忘记口令的重设置过程。此外,您也可以使用外部口令管理系统。
在大多数情况下,您可以在安装 SSPR 和 Identity Applications 时启用忘记口令管理功能。但是,有时您可能没有指定当口令更改后,SSPR 要将用户定向到的 Identity Applications 登录页 URL。此时,您也需要启用忘记口令管理。本节提供以下信息:
本节提供了将 Identity Manager 配置为使用 SSPR 的相关信息。
登录到安装了 Identity Applications 的服务器。
运行配置更新实用程序。有关更多信息,请参见部分 3.0, 安装和配置流程概述。
在实用程序中,导航到鉴定 > 口令管理。
对于口令管理提供程序,请指定 Self Service Password Reset (SSPR)。
(可选)要在 Identity Applications 登录页面上提供用于重设置用户名或口令或者激活新用户帐户的链接,请从用户界面下拉列表中选择其他链接,然后选中所需的复选框。或者,可以通过从用户界面下拉列表中选择“无法登录?”来提供通用链接。以下链接将显示在 Identity Applications 登录页面上:如果您忘记了用户名或口令,或者需要注册,请单击此处。
导航到 IDM SSO 客户端 > Self Service Password Reset。
对于 OAuth 客户端 ID,请指定用于供鉴定服务器识别 SSPR 单点登录客户端的名称。默认值为 sspr。
对于 OAuth 客户端机密,请指定 SSPR 单点登录客户端的口令。
对于 OAuth 重定向 URL,请指定在完成鉴定后,鉴定服务器要将浏览器客户端重定向到的绝对 URL。
使用以下格式:protocol://server:port/path。例如,http://10.10.10.48:8180/sspr/public/oauth。
保存更改并关闭实用程序。
本节提供了配置 SSPR 以与 Identity Manager 配合使用的相关信息。例如,您可能想要修改口令策略和询问应答问题。
如果您随 Identity Manager 一起安装了 SSPR,即已指定了管理员可用来配置应用程序的口令。NetIQ 建议您修改 SSPR 设置,然后指定可以配置 SSPR 的管理员帐户或组。
注:如果您将 SSPR 安装在不同于 User Application 服务器的另一服务器上,请确保将 SSPR 应用程序证书添加到 User Application cacerts。
使用您在安装期间指定的配置口令登录到 SSPR。
在“设置”页面中,修改口令策略和询问应答问题的设置。有关配置 SSPR 设置默认值的详细信息,请参见《NetIQ Self Service Password Reset Administration Guide》(NetIQ Self Service Password Reset 管理指南)中的“Configuring Self Service Password Reset”(配置 Self Service Password Reset)。
锁定 SSPR 配置 文件 (SSPRConfiguration.xml)。有关锁定配置文件的详细信息,请参见锁定 SSPR 配置。
(可选)要在锁定配置后修改 SSPR 设置,必须在 SSPRConfiguration.xml 文件中将 configIsEditable 设置设为 true。
从 SSPR 中注销。
要使更改生效,请重启动 Tomcat。
转到 http://<IP/DNS name>:<port>/sspr。此链接可将您转到 SSPR 门户。
使用管理员帐户登录到 Identity Manager,或使用现有的登录身份凭证登录。
单击页面顶部的配置管理器,然后指定您在安装期间指定的配置口令。
单击配置编辑器,然后浏览到设置 > LDAP 设置。
锁定 SSPR 配置 文件 (SSPRConfiguration.xml)。
在“管理员许可权限”部分下,在身份库中以 LDAP 格式定义过滤器,以过滤对 SSPR 具有管理员权限的用户或组。默认情况下,该过滤器设置为 groupMembership=cn=Admins,ou=Groups,o=example。
例如,对于 User Application 管理员,请将它设置为 uaadmin (cn=uaadmin)。
这可以防止用户修改 SSPR 中的配置,但具有完全权限可修改设置的 SSPR 管理员用户除外。
为确保 LDAP 查询返回结果,请单击查看匹配项。
如果设置中存在任何错误,则您无法继续设置下一个配置选项。SSPR 会显示错误细节,以帮助您进行问题查错。
单击保存。
在弹出的确认窗口中,单击确定。
锁定 SSPR 后,管理员用户可以在“管理”用户界面中查看其他选项,例如“仪表板”、“用户活动”、“数据分析”等,而在锁定 SSPR 之前则不会显示这些选项。
(可选)要在锁定配置后修改 SSPR 设置,必须在 SSPRConfiguration.xml 文件中将 configIsEditable 设置设为 true。
从 SSPR 中注销。
以步骤 3 中定义的管理员用户身份再次登录到 SSPR。
单击关闭配置,然后单击确定以确认更改。
要使更改生效,请重启动 Tomcat。
要使用外部系统,必须指定包含“忘记口令”功能的 WAR 文件的位置。此过程包括以下活动:
如果您在安装期间未指定这些值,现在想要修改设置,您可以使用 RBPM 配置实用程序,或者以管理员身份在 User Application 中进行更改。
(视情况而定)要在 RBPM 配置实用程序中修改设置,请完成以下步骤:
登录到安装了 Identity Applications 的服务器。
运行 RBPM 配置实用程序。有关详细信息,请参见部分 3.0, 安装和配置流程概述。
在实用程序中,浏览到鉴定 > 口令管理。
对于口令管理提供程序,请指定 User Application(旧版)。
(视情况而定)要在 User Application 中修改设置,请完成以下步骤:
以 User Application 管理员身份登录。
浏览到管理 > 应用程序配置 > 口令模块设置 > 登录。
对于忘记口令,请指定外部。
对于忘记口令链接,请指定当用户在登录页面上单击忘记口令时所显示的链接。当用户单击此链接时,应用程序会将其定向到外部口令管理系统。例如:
http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp
对于忘记口令返回链接,请指定用户执行完忘记口令过程后显示的链接。用户单击此链接,即可重定向到指定的链接。例如:
http://localhost/IDMProv
对于忘记口令 Web 服务 URL,请指定外部转发口令 WAR 用来回调 Identity Applications 的 Web 服务 URL。使用以下格式:
https://idmhost:sslport/idm/pwdmgt/service
返回链接必须使用 SSL,以确保与 Identity Applications 进行安全的 Web 服务通讯。有关详细信息,请参见配置应用程序服务器之间的 SSL 通讯。
手动将 ExternalPwd.war 复制到运行外部口令 WAR 功能的远程应用程序服务器部署目录。
如果您拥有外部口令 WAR 文件并想要通过访问“忘记口令”功能来测试该功能,可以在以下位置访问它:
直接在浏览器中访问。转到外部口令 WAR 文件中的“忘记口令”页面。例如:http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp。
在 User Application 登录页面上,单击忘记口令链接。
如果您使用的是外部口令管理系统,则必须在部署 Identity Applications 与外部忘记口令管理 WAR 文件的 Tomcat 实例之间配置 SSL 通讯。有关详细信息,请参见 Tomcat 文档。
安装过程假设您要将 SSPR 部署在 Identity Applications 和 Identity Reporting 所在的同一个应用程序服务器上。默认情况下,仪表板中应用程序页面上的内置链接使用指向本地系统上 SSPR 的相对 URL 格式。例如 \sspr\private\changepassword。如果在分布式环境或群集环境中安装应用程序,则必须更新 SSPR 链接的 URL。
有关详细信息,请参见 Identity Applications 的帮助。
以管理员身份登录仪表板。例如,以 uaadmin 身份登录。
单击编辑。
在“编辑主页项目”页面上,将鼠标悬停在要更新的项目上,然后单击编辑图标。例如,选择更改我的口令。
对于链接,请指定绝对 URL。例如:http://10.10.10.48:8180/sspr/changepassword。
单击保存。
对要更新的每个 SSPR 链接重复上述步骤。
完成后,单击我已完成。
注销,然后以普通用户身份登录以测试更改。