您可以設定 Web 主控台使用智慧卡或多重要素驗證來進行驗證,也可以使用您自己的標誌和應用程式標題來自定品牌。
您可以從執行網頁瀏覽器的任何電腦、iOS 裝置或 Android 裝置啟動 Web 主控台。若要啟動主控台,請在您的網頁瀏覽器地址欄位中指定適當的 URL。例如,如果您已在 HOUserver 電腦上安裝 Web 元件,請在網頁瀏覽器的地址欄位中輸入 https://HOUserver/draclient。
附註:若要在 Web 主控台中顯示最新的帳戶和 Microsoft Exchange 資訊,請將您的網頁瀏覽器設為在每次造訪時檢查快取頁面的新版本。
您可以定義 Web 主控台在非作用之後自動登出的時間增量,或設定為永不自動登出。
若要在 Web 主控台中設定自動登出,請導覽至「管理 > 組態 > 自動登出」。
您可以在 Web 主控台中設定三個選項其中之一,以定義在登入時的 DRA 伺服器連線選項。一旦設定之後,管理員和助理管理員在登入 Web 主控台時,在選項下拉式面板中的連線組態便會相同。
一律使用預設 DRA 伺服器位置 (一律)
永不使用預設 DRA 伺服器位置 (永不)
僅在選取時才使用預設 DRA 伺服器位置 (僅在選取時)
在登入時,每個選項的行為如下所述:
連線組態 |
登入螢幕 - 選項 |
連線選項說明 |
---|---|---|
永遠 |
無 |
選項組態已停用 |
從未: |
使用自動探查 |
自動尋找 DRA 伺服器;沒有可用的組態選項 |
|
連接至特定 DRA 伺服器 |
使用者會設定伺服器及連接埠 |
|
連接至管理特定網域的伺服器 |
使用者會提供管理的網域並選擇連線選項:
|
僅在選取時 |
使用自動探查 |
自動尋找 DRA 伺服器;沒有可用的組態選項 |
|
連接至預設 DRA 伺服器 |
已選取預設伺服器並停用 DRA 伺服器組態 |
|
連接至特定 DRA 伺服器 |
使用者會設定伺服器及連接埠 |
|
連接至管理特定網域的伺服器 |
使用者會提供管理的網域並選擇連線選項:
|
若要設定 Web 主控台中的 DRA 伺服器連接,請導覽至「管理 > 組態 > DRA 伺服器連線」。
REST 服務連接的組態包含設定預設伺服器位置和連線逾時 (以秒為單位)。您可以在 Web 主控台中設定三個選項其中之一,以定義在登入時的 REST 服務連線選項。一旦設定之後,管理員和助理管理員在登入 Web 主控台時,在選項下拉式面板中的連線組態便會相同。
一律使用預設 REST 服務位置 (一律)
永不使用預設 REST 服務位置 (永不)
僅在選取時才使用預設 REST 服務位置 (僅在選取時)
在登入時,每個選項的行為如下所述:
連線組態 |
登入螢幕 - 選項 |
連線選項說明 |
---|---|---|
永遠 |
無 |
選項組態已停用 |
從未: |
使用自動探查 |
自動尋找 REST 伺服器;沒有可用的組態選項 |
|
連接至特定的 REST 伺服器 |
使用者會設定伺服器及連接埠 |
|
連接至特定網域中的 REST 伺服器 |
使用者會提供管理的網域並選擇連線選項:
|
僅在選取時 |
使用自動探查 |
自動尋找 REST 伺服器;沒有可用的組態選項 |
|
連接至預設 REST 伺服器 |
已選取預設 REST 伺服器並停用 REST 伺服器組態 |
|
連接至特定的 REST 伺服器 |
使用者會設定伺服器及連接埠 |
|
連接至特定網域中的 REST 伺服器 |
使用者會提供管理的網域並選擇連線選項:
|
若要在 Web 主控台中設定 REST 服務連線,請導覽至管理>組態> REST 服務連線。
本節包含使用 Advanced Authentication 整合來設定智慧卡驗證、Windows 驗證及多重要素驗證的資訊。
若要設定 Web 主控台根據使用者智慧卡的用戶端身分證明來接受使用者,您必須設定 Internet Information Services (IIS) 和 REST 服務組態檔案。
重要:請確定智慧卡的證書也安裝在 Web 伺服器上的根證書儲存區,因為 IIS 必須要找到符合智慧卡上這些項目的證書。
在 Web 伺服器上安裝驗證元件。
啟動伺服器管理員。
按一下 Web 伺服器 (IIS)。
移至「角色服務」區段,然後按一下新增角色服務。
移至「安全性」角色服務節點,然後選取 Windows 驗證和用戶端證書對應驗證。
在 Web 伺服器上啟用驗證。
啟動 IIS 管理員。
選取您的 Web 伺服器。
在 IIS 區段下方尋找驗證圖示,並且連按兩下。
啟用「Active Directory 用戶端證書驗證」和「Windows 驗證」。
設定 DRA 用戶端。
選取您的 DRA 用戶端。
在 IIS 區段下方尋找驗證圖示,並且連按兩下。
啟用「Windows 驗證」並且停用「匿名驗證」。
在 DRA 用戶端上啟用 SSL 和用戶端證書。
在 IIS 區段下方尋找 SSL 服務圖示,並且連按兩下。
選取需要 SSL,然後在「用戶端」證書下方選取需要。
提示:如果選項可以使用,請選取需要 128 位元的 SSL。
設定 REST 服務 Web 應用程式。
選取您的 REST 服務 Web 應用程式。
在 IIS 區段下方尋找驗證圖示,並且連按兩下。
啟用「Windows 驗證」並且停用「匿名驗證」。
在 REST 服務 Web 應用程式上啟用 SSL 和用戶端證書。
在 IIS 區段下方尋找 SSL 服務圖示,並且連按兩下。
選取需要 SSL,然後在「用戶端」證書下方選取需要。
提示:如果選項可以使用,請選取需要 128 位元的 SSL。
設定 WCF Web 服務檔案。
選取您的 REST 服務 Web 應用程式並且切換至「內容檢視」。
找到 .svc 檔案並且按一下滑鼠右鍵。
選取切換至功能檢視。
在 IIS 區段下方尋找驗證圖示,並且連按兩下。
啟用「匿名驗證」並且停用其它所有驗證方法。
編輯 REST 服務組態檔案。
使用文字編輯器以開啟 C:\inetpub\wwwroot\DRAClient\rest\web.config 檔案。
找到 <authentication mode="None" /> 行並加以刪除。
將以下指定的各行取消註解:
在 <system.serviceModel> 行下:
<services> <service name="NetIQ.DRA.DRARestProxy.RestProxy"> <endpoint address="" binding="webHttpBinding" bindingConfiguration="webHttpEndpointBinding" name="webHttpEndpoint" contract="NetIQ.DRA.DRARestProxy.IRestProxy" /> </service> </services>
在 <serviceDebug includeExceptionDetailInFaults="false"/> 行下:
<serviceAuthorization impersonateCallerForAllOperations="true" /> <serviceCredentials> <clientCertificate> <authentication mapClientCertificateToWindowsAccount="true" /> </clientCertificate> </serviceCredentials>
在 <serviceHostingEnvironment multipleSiteBindingsEnabled="true" /> 行上:
<bindings> <webHttpBinding> <binding name="webHttpEndpointBinding"> <security mode="Transport"> <transport clientCredentialType="Certificate" /> </security> </binding> </webHttpBinding> </bindings>
儲存檔案並重新啟動 IIS 伺服器。
若要在 Web 主控台上啟用 Windows 驗證,您必須設定 Internet Information Services (IIS) 和 REST 服務組態檔案。
開啟 IIS 管理員。
在「連線」窗格中,找到 REST 服務 Web 應用程式並且選取。
在右窗格中,移至 IIS 區段並且連按兩下驗證。
啟用 Windows 驗證並且停用其它所有驗證方法。
使用文字編輯器以開啟 C:\inetpub\wwwroot\DRAClient\rest\web.config 檔案,並且找到 <authentication mode="None" /> 行。
將 "None" 變更為 "Windows" 並且儲存檔案。
重新啟動 IIS 伺服器。
Advanced Authentication 架構 (AAF) 是我們的頂級軟體套件,可讓您從簡單的使用者名稱和密碼,提升到更安全的多重要素驗證機密資訊保護方式。
Advanced Authentication 支援下列安全性通訊協定:
TLS 1.2 (預設設定)、TLS 1.1 和 TLS 1.0
SSL 3.0
多重要素驗證是電腦存取控制的方法,需要來自不同身分證明類別的多個驗證方法,以便驗證使用者的身分。
有三種類型的驗證類別或要素:
知識。這個類別要求您知道特定的資訊片段,例如密碼或啟用代碼。
持有。這個類別要求您擁有驗證裝置,例如智慧卡或智慧型手機。
本文。這個類別要求您使用身體特徵的部分 (例如您的指紋) 作為驗證方法。
每個驗證要素都包含至少一個驗證方法。驗證方法是特定技術,您可以用來建立使用者的身分,例如使用指紋或要求密碼。
如果驗證程序使用一種以上類型的驗證方法 (例如需要密碼和指紋),您便可以將其視為增強式驗證。
Advanced Authentication 支援下列驗證方法:
LDAP 密碼
遠端驗證撥號使用者服務 (RADIUS)
智慧型手機
提示:智慧型手機方法需要使用者下載 iOS 或 Android 應用程式。如需詳細資訊,請參閱《Advanced Authentication - 智慧型手機應用程式使用者指南》,這可以從 NetIQ 文件網站取得。
使用下列章節中的資訊來設定 Web 主控台使用多重要素驗證。
重要:雖然下列章節中的某些步驟會在 Web 主控台中進行,但是大部分多重要素驗證組態程序需要存取 AAF。這些程序假設您已安裝 AAF 並且具有 AA 說明檔案的存取權。
設定 Web 主控台的第一步是使用多重要素驗證以將包含由 DRA 管理之 DRA 管理員和助理管理員的所有 Active Directory 網域新增至 AAF。這些網域稱為儲存庫,它們包含您想要驗證之使用者和群組的身分屬性。
使用管理員層級使用者名稱和密碼登入 AAF 管理入口網站。
移至左面板然後按一下儲存庫。
按一下新增。
填入表單。
提示:LDAP 類型是 AD。
提示:在對應欄位輸入管理員層級使用者名稱和密碼。
按一下新增伺服器。
在位址欄位中輸入 LDAP 伺服器的 IP 位址。
按一下儲存。
針對 DRA 管理的其它所有 AD 儲存庫重複步驟 3 到 7。
針對「儲存庫」頁面上列出的每個儲存庫,按一下立即同步以讓它與 AAF 伺服器同步。
驗證鏈包含至少一個驗證方法。鏈中的方法會以它們新增至鏈的順序來叫用。使用者若要獲得驗證,必須通過鏈中的所有方法。例如,您可以建立包含 LDAP 密碼方法和 SMS 方法的鏈。當使用者嘗試使用此鏈來驗證,她必須先使用她的 LDAP 密碼進行驗證,然後包含一次性密碼的簡訊會傳送到她的行動電話。在她輸入密碼之後,鏈中的所有方法將會完成,如此即驗證成功。驗證鏈可以指定給特定使用者或群組。
若要建立驗證鏈:
使用管理員層級使用者名稱和密碼登入 AAF 管理入口網站。
移至左面板然後按一下鏈。右面板會顯示目前可用鏈的清單。
按一下新增。
填入表單。需要填寫所有欄位。
重要:以應該叫用方法的順序來新增方法,也就是說,如果您想要使用者先輸入 LDAP 密碼,則先將 LDAP 密碼新增至鏈。
重要:確定如果由端點擁有者使用時套用切換為「關閉」。
將啟用切換為「開啟」。
在角色和群組欄位中輸入受限於驗證要求之角色或群組的名稱。
提示:如果您想要將鏈套用至所有使用者,則在角色和群組欄位中輸入所有使用者,然後從產生的下拉式清單中選取所有使用者。
您選取的任何使用者或群組都會新增至角色和群組欄位下方。
按一下儲存。
驗證事件是由應用程式觸發,在此案例中是想要驗證使用者的 Web 主控台。必須至少將一個驗證鏈指定至事件,當觸發事件時,與事件相關聯之鏈中的方法才會叫用,以便驗證使用者。
端點是實際裝置,例如電腦或智慧型手機,該裝置會執行觸發驗證事件的軟體。DRA 將在您建立事件之後,向 AAF 註冊端點。
您可以使用「端點」白名單方塊來限制對於特定端點之事件的存取權,或者可以允許所有端點存取事件。
若要建立驗證事件:
使用管理員層級使用者名稱和密碼登入 AAF 管理入口網站。
移至左面板然後按一下事件。右面板會顯示目前可用事件的清單。
按一下新增。
填入表單。需要填寫所有欄位。
重要:確定啟用切換為「開啟」。
如果您想要限制特定端點的存取,請移至「端點」白名單區段然後將目標端點從可用清單移至使用清單。
提示:如果使用清單中沒有任何端點,則事件適用於所有端點。
在您設定鏈和事件之後,您能以管理員身分登入 Web 主控台,並啟用 Advanced Authentication。
一旦啟用驗證,就會要求每個使用者先透過 AAF 進行驗證,才能獲得 Web 主控台的存取權。
重要:在啟用 Web 主控台之前,您必須已在 Web 主控台用來驗證使用者的驗證方法中註冊。請參閱《Advanced Authentication 架構使用者指南》以瞭解如何在驗證方法中註冊。
若要啟用 Advanced Authentication,請登入 Web 主控台,然後導覽至「管理 > 組態 > Advanced Authentication」。選取已啟用核取方塊,然後根據針對每個欄位提供的指示來設定表單。
提示:在您儲存組態之後,系統將在 AAF 中建立端點。若要檢視或編輯端點,請以管理員層級使用者名稱和密碼登入 AAF 管理入口網站,然後按一下左窗格中的端點。
以管理員層級使用者名稱和密碼登入 AAF 管理入口網站,然後按一下左窗格中的事件。
編輯每個 Web 主控台事件:
開啟事件以進行編輯。
移至「端點」白名單區段,然後將您在設定 Web 主控台時建立的端點從可用清單移至使用清單。如此將會確保只有 Web 主控台可以使用這些事件。
按一下儲存。