6.6 設定 Web 用戶端

您可以設定 Web 主控台使用智慧卡或多重要素驗證來進行驗證,也可以使用您自己的標誌和應用程式標題來自定品牌。

6.6.1 啟動 Web 主控台

您可以從執行網頁瀏覽器的任何電腦、iOS 裝置或 Android 裝置啟動 Web 主控台。若要啟動主控台,請在您的網頁瀏覽器地址欄位中指定適當的 URL。例如,如果您已在 HOUserver 電腦上安裝 Web 元件,請在網頁瀏覽器的地址欄位中輸入 https://HOUserver/draclient

附註:若要在 Web 主控台中顯示最新的帳戶和 Microsoft Exchange 資訊,請將您的網頁瀏覽器設為在每次造訪時檢查快取頁面的新版本。

6.6.2 自動登出

您可以定義 Web 主控台在非作用之後自動登出的時間增量,或設定為永不自動登出。

若要在 Web 主控台中設定自動登出,請導覽至「管理 > 組態 > 自動登出」。

6.6.3 DRA 伺服器連線

您可以在 Web 主控台中設定三個選項其中之一,以定義在登入時的 DRA 伺服器連線選項。一旦設定之後,管理員和助理管理員在登入 Web 主控台時,在選項下拉式面板中的連線組態便會相同。

  • 一律使用預設 DRA 伺服器位置 (一律)

  • 永不使用預設 DRA 伺服器位置 (永不)

  • 僅在選取時才使用預設 DRA 伺服器位置 (僅在選取時)

在登入時,每個選項的行為如下所述:

連線組態

登入螢幕 - 選項

連線選項說明

永遠

選項組態已停用

從未:

使用自動探查

自動尋找 DRA 伺服器;沒有可用的組態選項

 

連接至特定 DRA 伺服器

使用者會設定伺服器及連接埠

 

連接至管理特定網域的伺服器

使用者會提供管理的網域並選擇連線選項:

  • 使用自動探查 (在所提供的網域中)

  • 此網域的主要伺服器

  • 搜尋 DRA 伺服器 (在所提供的網域中)

僅在選取時

使用自動探查

自動尋找 DRA 伺服器;沒有可用的組態選項

 

連接至預設 DRA 伺服器

已選取預設伺服器並停用 DRA 伺服器組態

 

連接至特定 DRA 伺服器

使用者會設定伺服器及連接埠

 

連接至管理特定網域的伺服器

使用者會提供管理的網域並選擇連線選項:

  • 使用自動探查 (在所提供的網域中)

  • 此網域的主要伺服器

  • 搜尋 DRA 伺服器 (在所提供的網域中)

若要設定 Web 主控台中的 DRA 伺服器連接,請導覽至「管理 > 組態 > DRA 伺服器連線」。

6.6.4 REST 伺服器連線

REST 服務連接的組態包含設定預設伺服器位置和連線逾時 (以秒為單位)。您可以在 Web 主控台中設定三個選項其中之一,以定義在登入時的 REST 服務連線選項。一旦設定之後,管理員和助理管理員在登入 Web 主控台時,在選項下拉式面板中的連線組態便會相同。

  • 一律使用預設 REST 服務位置 (一律)

  • 永不使用預設 REST 服務位置 (永不)

  • 僅在選取時才使用預設 REST 服務位置 (僅在選取時)

在登入時,每個選項的行為如下所述:

連線組態

登入螢幕 - 選項

連線選項說明

永遠

選項組態已停用

從未:

使用自動探查

自動尋找 REST 伺服器;沒有可用的組態選項

 

連接至特定的 REST 伺服器

使用者會設定伺服器及連接埠

 

連接至特定網域中的 REST 伺服器

使用者會提供管理的網域並選擇連線選項:

  • 使用自動探查 (在所提供的網域中)

  • 搜尋 REST 伺服器 (在所提供的網域中)

僅在選取時

使用自動探查

自動尋找 REST 伺服器;沒有可用的組態選項

 

連接至預設 REST 伺服器

已選取預設 REST 伺服器並停用 REST 伺服器組態

 

連接至特定的 REST 伺服器

使用者會設定伺服器及連接埠

 

連接至特定網域中的 REST 伺服器

使用者會提供管理的網域並選擇連線選項:

  • 使用自動探查 (在所提供的網域中)

  • 搜尋 REST 伺服器 (在所提供的網域中)

若要在 Web 主控台中設定 REST 服務連線,請導覽至管理>組態> REST 服務連線

6.6.5 驗證

本節包含使用 Advanced Authentication 整合來設定智慧卡驗證、Windows 驗證及多重要素驗證的資訊。

智慧卡驗證

若要設定 Web 主控台根據使用者智慧卡的用戶端身分證明來接受使用者,您必須設定 Internet Information Services (IIS) 和 REST 服務組態檔案。

重要:請確定智慧卡的證書也安裝在 Web 伺服器上的根證書儲存區,因為 IIS 必須要找到符合智慧卡上這些項目的證書。

  1. 在 Web 伺服器上安裝驗證元件。

    1. 啟動伺服器管理員。

    2. 按一下 Web 伺服器 (IIS)

    3. 移至「角色服務」區段,然後按一下新增角色服務

    4. 移至「安全性」角色服務節點,然後選取 Windows 驗證用戶端證書對應驗證

  2. 在 Web 伺服器上啟用驗證。

    1. 啟動 IIS 管理員

    2. 選取您的 Web 伺服器。

    3. 在 IIS 區段下方尋找驗證圖示,並且連按兩下。

    4. 啟用「Active Directory 用戶端證書驗證」和「Windows 驗證」。

  3. 設定 DRA 用戶端。

    1. 選取您的 DRA 用戶端。

    2. 在 IIS 區段下方尋找驗證圖示,並且連按兩下。

    3. 啟用「Windows 驗證」並且停用「匿名驗證」。

  4. 在 DRA 用戶端上啟用 SSL 和用戶端證書。

    1. 在 IIS 區段下方尋找 SSL 服務圖示,並且連按兩下。

    2. 選取需要 SSL,然後在「用戶端」證書下方選取需要

      提示:如果選項可以使用,請選取需要 128 位元的 SSL

  5. 設定 REST 服務 Web 應用程式。

    1. 選取您的 REST 服務 Web 應用程式。

    2. 在 IIS 區段下方尋找驗證圖示,並且連按兩下。

    3. 啟用「Windows 驗證」並且停用「匿名驗證」。

  6. 在 REST 服務 Web 應用程式上啟用 SSL 和用戶端證書。

    1. 在 IIS 區段下方尋找 SSL 服務圖示,並且連按兩下。

    2. 選取需要 SSL,然後在「用戶端」證書下方選取需要

      提示:如果選項可以使用,請選取需要 128 位元的 SSL

  7. 設定 WCF Web 服務檔案。

    1. 選取您的 REST 服務 Web 應用程式並且切換至「內容檢視」。

    2. 找到 .svc 檔案並且按一下滑鼠右鍵。

    3. 選取切換至功能檢視

    4. 在 IIS 區段下方尋找驗證圖示,並且連按兩下。

    5. 啟用「匿名驗證」並且停用其它所有驗證方法。

  8. 編輯 REST 服務組態檔案。

    1. 使用文字編輯器以開啟 C:\inetpub\wwwroot\DRAClient\rest\web.config 檔案。

    2. 找到 <authentication mode="None" /> 行並加以刪除。

    3. 將以下指定的各行取消註解:

      • <system.serviceModel> 行下:

        <services> <service name="NetIQ.DRA.DRARestProxy.RestProxy"> <endpoint address="" binding="webHttpBinding" bindingConfiguration="webHttpEndpointBinding" name="webHttpEndpoint" contract="NetIQ.DRA.DRARestProxy.IRestProxy" /> </service> </services>

      • 在 <serviceDebug includeExceptionDetailInFaults="false"/> 行下:

        <serviceAuthorization impersonateCallerForAllOperations="true" /> <serviceCredentials> <clientCertificate> <authentication mapClientCertificateToWindowsAccount="true" /> </clientCertificate> </serviceCredentials>

      • <serviceHostingEnvironment multipleSiteBindingsEnabled="true" /> 行上:

        <bindings> <webHttpBinding> <binding name="webHttpEndpointBinding"> <security mode="Transport"> <transport clientCredentialType="Certificate" /> </security> </binding> </webHttpBinding> </bindings>

  9. 儲存檔案並重新啟動 IIS 伺服器。

Windows 驗證

若要在 Web 主控台上啟用 Windows 驗證,您必須設定 Internet Information Services (IIS) 和 REST 服務組態檔案。

  1. 開啟 IIS 管理員。

  2. 在「連線」窗格中,找到 REST 服務 Web 應用程式並且選取。

  3. 在右窗格中,移至 IIS 區段並且連按兩下驗證

  4. 啟用 Windows 驗證並且停用其它所有驗證方法。

  5. 使用文字編輯器以開啟 C:\inetpub\wwwroot\DRAClient\rest\web.config 檔案,並且找到 <authentication mode="None" /> 行。

  6. "None" 變更為 "Windows" 並且儲存檔案。

  7. 重新啟動 IIS 伺服器。

具有 Advanced Authentication 的多重要素驗證

Advanced Authentication 架構 (AAF) 是我們的頂級軟體套件,可讓您從簡單的使用者名稱和密碼,提升到更安全的多重要素驗證機密資訊保護方式。

Advanced Authentication 支援下列安全性通訊協定:

  • TLS 1.2 (預設設定)、TLS 1.1 和 TLS 1.0

  • SSL 3.0

多重要素驗證是電腦存取控制的方法,需要來自不同身分證明類別的多個驗證方法,以便驗證使用者的身分。

有三種類型的驗證類別或要素:

  • 知識。這個類別要求您知道特定的資訊片段,例如密碼或啟用代碼。

  • 持有。這個類別要求您擁有驗證裝置,例如智慧卡或智慧型手機。

  • 本文。這個類別要求您使用身體特徵的部分 (例如您的指紋) 作為驗證方法。

每個驗證要素都包含至少一個驗證方法。驗證方法是特定技術,您可以用來建立使用者的身分,例如使用指紋或要求密碼。

如果驗證程序使用一種以上類型的驗證方法 (例如需要密碼和指紋),您便可以將其視為增強式驗證。

Advanced Authentication 支援下列驗證方法:

  • LDAP 密碼

  • 遠端驗證撥號使用者服務 (RADIUS)

  • 智慧型手機

    提示:智慧型手機方法需要使用者下載 iOS 或 Android 應用程式。如需詳細資訊,請參閱《Advanced Authentication - 智慧型手機應用程式使用者指南》,這可以從 NetIQ 文件網站取得。

使用下列章節中的資訊來設定 Web 主控台使用多重要素驗證。

重要:雖然下列章節中的某些步驟會在 Web 主控台中進行,但是大部分多重要素驗證組態程序需要存取 AAF。這些程序假設您已安裝 AAF 並且具有 AA 說明檔案的存取權。

將儲存庫新增至 Advanced Authentication 架構

設定 Web 主控台的第一步是使用多重要素驗證以將包含由 DRA 管理之 DRA 管理員和助理管理員的所有 Active Directory 網域新增至 AAF。這些網域稱為儲存庫,它們包含您想要驗證之使用者和群組的身分屬性。

  1. 使用管理員層級使用者名稱和密碼登入 AAF 管理入口網站。

  2. 移至左面板然後按一下儲存庫

  3. 按一下新增

  4. 填入表單。

    提示:LDAP 類型AD

    提示:在對應欄位輸入管理員層級使用者名稱和密碼。

  5. 按一下新增伺服器

  6. 位址欄位中輸入 LDAP 伺服器的 IP 位址。

  7. 按一下儲存

  8. 針對 DRA 管理的其它所有 AD 儲存庫重複步驟 3 到 7。

  9. 針對「儲存庫」頁面上列出的每個儲存庫,按一下立即同步以讓它與 AAF 伺服器同步。

建立驗證鏈

驗證鏈包含至少一個驗證方法。鏈中的方法會以它們新增至鏈的順序來叫用。使用者若要獲得驗證,必須通過鏈中的所有方法。例如,您可以建立包含 LDAP 密碼方法和 SMS 方法的鏈。當使用者嘗試使用此鏈來驗證,她必須先使用她的 LDAP 密碼進行驗證,然後包含一次性密碼的簡訊會傳送到她的行動電話。在她輸入密碼之後,鏈中的所有方法將會完成,如此即驗證成功。驗證鏈可以指定給特定使用者或群組。

若要建立驗證鏈:

  1. 使用管理員層級使用者名稱和密碼登入 AAF 管理入口網站。

  2. 移至左面板然後按一下。右面板會顯示目前可用鏈的清單。

  3. 按一下新增

  4. 填入表單。需要填寫所有欄位。

    重要:以應該叫用方法的順序來新增方法,也就是說,如果您想要使用者先輸入 LDAP 密碼,則先將 LDAP 密碼新增至鏈。

    重要:確定如果由端點擁有者使用時套用切換為「關閉」。

  5. 啟用切換為「開啟」。

  6. 角色和群組欄位中輸入受限於驗證要求之角色或群組的名稱。

    提示:如果您想要將鏈套用至所有使用者,則在角色和群組欄位中輸入所有使用者,然後從產生的下拉式清單中選取所有使用者

    您選取的任何使用者或群組都會新增至角色和群組欄位下方。

  7. 按一下儲存

建立驗證事件

驗證事件是由應用程式觸發,在此案例中是想要驗證使用者的 Web 主控台。必須至少將一個驗證鏈指定至事件,當觸發事件時,與事件相關聯之鏈中的方法才會叫用,以便驗證使用者。

端點是實際裝置,例如電腦或智慧型手機,該裝置會執行觸發驗證事件的軟體。DRA 將在您建立事件之後,向 AAF 註冊端點。

您可以使用「端點」白名單方塊來限制對於特定端點之事件的存取權,或者可以允許所有端點存取事件。

若要建立驗證事件:

  1. 使用管理員層級使用者名稱和密碼登入 AAF 管理入口網站。

  2. 移至左面板然後按一下事件。右面板會顯示目前可用事件的清單。

  3. 按一下新增

  4. 填入表單。需要填寫所有欄位。

    重要:確定啟用切換為「開啟」。

  5. 如果您想要限制特定端點的存取,請移至「端點」白名單區段然後將目標端點從可用清單移至使用清單。

    提示:如果使用清單中沒有任何端點,則事件適用於所有端點。

啟用 Web 主控台

在您設定鏈和事件之後,您能以管理員身分登入 Web 主控台,並啟用 Advanced Authentication。

一旦啟用驗證,就會要求每個使用者先透過 AAF 進行驗證,才能獲得 Web 主控台的存取權。

重要:在啟用 Web 主控台之前,您必須已在 Web 主控台用來驗證使用者的驗證方法中註冊。請參閱《Advanced Authentication 架構使用者指南》以瞭解如何在驗證方法中註冊。

若要啟用 Advanced Authentication,請登入 Web 主控台,然後導覽至「管理 > 組態 > Advanced Authentication」。選取已啟用核取方塊,然後根據針對每個欄位提供的指示來設定表單。

提示:在您儲存組態之後,系統將在 AAF 中建立端點。若要檢視或編輯端點,請以管理員層級使用者名稱和密碼登入 AAF 管理入口網站,然後按一下左窗格中的端點

最終步驟

  1. 以管理員層級使用者名稱和密碼登入 AAF 管理入口網站,然後按一下左窗格中的事件

  2. 編輯每個 Web 主控台事件:

    1. 開啟事件以進行編輯。

    2. 移至「端點」白名單區段,然後將您在設定 Web 主控台時建立的端點從可用清單移至使用清單。如此將會確保只有 Web 主控台可以使用這些事件。

  3. 按一下儲存