為了提供單一登入存取 (SSO),Identity Manager 使用了驗證服務 NetIQ One SSO Provider (OSP)。您必須對下列元件使用 OSP︰
Catalog Administrator
Identity Manager 儀表板
Identity Reporting
Self-Service Password Reset
使用者應用程式
Identity Manager 和 Identity Manager 整合式安裝程式的 .iso 影像都包含安裝 OSP 的方法。如需安裝 OSP 的詳細資訊,請參閱節 32.0, 為 Identity Manager 安裝密碼管理功能。
OSP 支援 OAuth2 規格,它需要有一個使用 OAuth 通訊協定進行驗證的 LDAP 驗證伺服器。依預設,Identity Manager 使用 Identity Vault (eDirectory)。OSP 可以與其他類型的驗證來源或 Identity Vault 通訊,以處理驗證申請。但是,特定來源必須使用 OAuth 通訊協定。您可以設定要讓 OSP 使用的驗證類型︰userID 和密碼、Kerberos 或 SAML。不過,OSP 不支援 MIT 樣式的 Kerberos 或 SAP 登入票證。
如果您使用 Identity Vault 做為驗證服務,並且 Identity Vault 中的指定容器具有 CN 和密碼,則授權使用者在 Identity Manager 安裝好後便可立即登入其中。如果沒有這些登入帳戶,則只有安裝期間指定的管理員可以立即登入。
當使用者登入其中一個基於瀏覽器的元件時,程序會將使用者的名稱/密碼配對重新導向至 OSP 服務,該服務隨即會查詢驗證伺服器。伺服器會驗證使用者身分證明。隨後,OSP 將 OAuth2 存取記號發給該元件和瀏覽器。瀏覽器在使用者的工作階段期間使用該記號來提供對任何基於瀏覽器之元件的 SSO 存取權。
如果您使用 Kerberos 或 SAML,OSP 會接受來自 Kerberos 票證伺服器或 SAML IDP 的驗證,然後將 OAuth2 存取記號核發給使用者所登入的元件。
OSP 和 Kerberos 可確保使用者能夠登入系統一次,以便使用其中一個 Identity Applications 及 Identity Reporting 建立工作階段。如果使用者的工作階段逾時,授權會自動進行,無需使用者介入。每次登出之後,使用者都應關閉瀏覽器,以確保其工作階段結束。否則,應用程式會將使用者重新導向至登入視窗,並且 OSP 會重新授權該使用者工作階段。
若要讓 OSP 與 SSO 正常運作,您必須安裝 OSP。然後指定用戶端用於存取每個元件的 URL、將驗證申請重新導向至 OSP 的 URL,以及驗證伺服器的設定。您可以在安裝期間或安裝之後使用 RBPM 組態公用程式提供此資訊。您還可以指定 Kerberos 票證伺服器或 SAML IDP 的設定。
如需設定驗證和單一登入存取的詳細資訊,請參閱節 XV, 在 Identity Manager 中設定單一登入存取。在叢集中,所有叢集成員的組態設定都必須相同。
Identity Manager 使用支援在 OSP 服務與驗證伺服器之間進行 http 和 https 通訊的金鑰儲存區。金鑰儲存區是在您安裝 OSP 時建立的。您也可以建立一個密碼,供 OSP 服務用於與驗證伺服器進行授權互動。如需詳細資訊,請參閱節 32.0, 為 Identity Manager 安裝密碼管理功能。
OSP 會產生單個事件,來說明使用者何時登入或登出使用者應用程式或 Identity Reporting︰
003E0204 (登入)
003E0201 (登出)
然後,XDAS 分類法會將這些 OSP 事件解譯為登入/登出或 SOAP 呼叫使用者應用程式成功,或是「不成功」。