为了提供单点登录访问 (SSO),Identity Manager 使用了鉴定服务 NetIQ One SSO Provider (OSP)。您必须对下列组件使用 OSP:
Catalog Administrator
Home 和 Provisioning Dashboard
Identity Reporting
Self-Service Password Reset
User Application
Identity Manager 和 Identity Manager 集成安装程序的 .iso 映象都包含安装 OSP 的方法。有关安装 OSP 的详细信息,请参见部分 28.0, 安装 Identity Manager 的单点登录和口令管理。
OSP 支持 OAuth2 规范,并需要一个使用 OAuth 协议进行鉴定的 LDAP 鉴定服务器。默认情况下,Identity Manager 使用身份库 (eDirectory)。只要来源使用 OAuth 协议,您便可以配置多个鉴定来源(或身份库)来处理鉴定请求。OSP 还可以与 Kerberos 交互。
如果身份库中的指定容器具有用户的 CN 和口令,则这些用户可以在安装之后立即登录 Identity Manager。如果没有这些登录帐户,则只有安装期间指定的管理员可以立即登录。
当用户登录其中一个基于浏览器的组件时,此过程会将用户的名称/口令对重定向到 OSP 服务,该服务随即会查询鉴定服务器。服务器会验证用户身份凭证。随后,OSP 将 OAuth2 访问令牌发给该组件和浏览器。浏览器会在用户的会话期间使用该令牌来提供对任何基于浏览器的组件的 SSO 访问权。
在登录顺序期间,OSP 可以检测 Identity Manager 环境中是否配置了 Kerberos 或 SAML。如果已配置,OSP 会接受来自 Kerberos 票据服务器或 SAML IDP 的鉴定,然后将 OAuth2 访问令牌发给用户所登录的组件。不过,OSP 不支持 MIT 样式的 Kerberos 或 SAP 登录票据。
OSP 和 Kerberos 可确保用户能够登录系统一次,以便使用其中一个 Identity Applications 及 Identity Reporting 创建会话。如果用户的会话超时,授权会自动进行,而无需用户的干预。注销之后,用户应始终关闭浏览器以确保其会话结束。否则,应用程序会将用户重定向到登录窗口,并且 OSP 会重新对该用户会话进行授权。
要让 OSP 与 SSO 正常运作,您必须安装 OSP。然后指定客户端用于访问每个组件的 URL、将验证请求重定向到 OSP 的 URL,以及鉴定服务器的设置。您可以在安装期间或安装之后使用 RBPM 配置实用程序来提供此信息。您还可以指定 Kerberos 票据服务器或 SAML IDP 的设置。
有关配置鉴定和单点登录访问的详细信息,请参见部分 XIII, 在 Identity Manager 中配置单点登录访问。在群集中,所有群集成员的配置设置都必须相同。
Identity Manager 使用支持在 OSP 服务与鉴定服务器之间进行 http 和 https 通讯的密钥存储区。密钥存储区是在您安装 OSP 时创建的。您也可以创建一个口令,供 OSP 服务用于与鉴定服务器进行授权交互。有关详细信息,请参见部分 28.0, 安装 Identity Manager 的单点登录和口令管理。
OSP 会生成单个事件,来说明用户何时登录或注销 User Application 或 Identity Reporting:
003E0204(登录)
003E0201(注销)
然后,XDAS 分类法会将这些 OSP 事件解释为登录/注销或 SOAP 调用 User Application 成功,或者是“不成功”。
注:有关 OSP 更改审计事件的方式的详细信息,请参见此版本的发行说明。