Identity Manager 安裝程式中包含 Self Service Password Reset,以協助您管理重設忘記的密碼的程序。您也可以使用外部密碼管理系統。
大多數情況下,您可以在安裝 SSPR 和 Identity Applications 時啟用忘記密碼管理功能。但是,您之前可能還未指定密碼變更後,SSPR 應將使用者轉遞到的 Identity Applications 抵達頁面 URL。此時,您也可能需要啟用忘記密碼管理。這個單元將提供下列資訊:
本節提供關於將 Identity Manager 設定為使用 SSPR 的資訊。
登入安裝了 Identity Applications 的伺服器。
執行組態更新公用程式。如需詳細資訊,請參閱節 3.0, 安裝和組態程序綜覽。
在公用程式中,導覽至驗證 > 密碼管理。
對於密碼管理提供程式,請指定 Self Service Password Reset (SSPR)。
(選擇性) 若要在 Identity Applications 登入頁面上提供用於重設使用者名或密碼,或者啟用新使用者帳戶的連結,請從使用者介面下拉式清單中選取其他連結,然後選取所需的核取方塊。或者,可以從使用者介面下拉式清單中選取「無法登入?」來提供通用連結。以下連結將顯示在 Identity Applications 登入頁面上:如果您忘記了使用者名稱或密碼,或者需要註冊,請按一下這裡。
導覽至 IDM SSO 用戶端 > Self Service Password Reset。
對於 OAuth 用戶端 ID,請指定用來供驗證伺服器識別 SSPR 單一登入用戶端的名稱。預設值為 sspr。
對於 OAuth 用戶端機密,請指定 SSPR 單一登入用戶端的機密。
對於 OAuth 重新導向 URL,請指定在驗證完成後,驗證伺服器要將瀏覽器用戶端重新導向到的絕對 URL。
使用以下格式:protocol://server:port/path。例如,http://10.10.10.48:8180/sspr/public/oauth。
儲存變更,然後關閉公用程式。
本節提供關於設定 SSPR 以與 Identity Manager 配合使用的資訊。例如,您可能想要修改密碼規則和處理安全回應問題。
如果 SSPR 是隨 Identity Manager 一起安裝的,則您已指定管理員可用來設定應用程式的密碼。NetIQ 建議您修改 SSPR 設定,然後指定管理員帳戶或群組可以設定 SSPR。
附註:如果您將 SSPR 安裝在不同於使用者應用程式伺服器的另一部伺服器上,請務必將 SSPR 應用程式證書新增至使用者應用程式 cacerts。
使用您在安裝期間指定的組態密碼登入 SSPR。
在「設定」頁面中,修改密碼規則和處理安全回應問題的設定。如需設定 SSPR 設定預設值的詳細資訊,請參閱《NetIQ Self Service Password Reset Administration Guide》(NetIQ Self Service Password Reset 管理指南) 中的「Configuring Self Service Password Reset」(設定 Self Service Password Reset)。
鎖定 SSPR 組態檔案 (SSPRConfiguration.xml)。如需鎖定組態檔案的詳細資訊,請參閱鎖定 SSPR 組態。
(選擇性) 若要在鎖定組態後修改 SSPR 設定,必須在 SSPRConfiguration.xml 檔案中將 configIsEditable 設定設為 true。
登出 SSPR。
為使變更生效,請重新啟動 Tomcat。
移至 http://<IP/DNS 名稱>:<連接埠>/sspr。此連結可使您進入 SSPR 入口網站。
使用管理員帳戶或現有的登入身分證明登入 Identity Manager。
按一下頁面頂部的組態管理員,然後指定您在安裝期間指定的組態密碼。
按一下組態編輯器,然後導覽至設定 > LDAP 設定。
鎖定 SSPR 組態檔案 (SSPRConfiguration.xml)。
在「管理員許可權」區段下,為對 Identity Vault 中的 SSPR 擁有管理員權限的使用者或群組定義一個 LDAP 格式的過濾器。依預設,該過濾器設定為 groupMembership=cn=Admins,ou=Groups,o=example。
例如,對於使用者應用程式管理員,請將它設定為 uaadmin (cn=uaadmin)。
這可以防止使用者修改 SSPR 中的組態,但具有修改設定的完整權限的 SSPR 管理員使用者不包括在內。
為確保 LDAP 查詢傳回結果,請按一下檢視相符項目。
如果設定中存在任何錯誤,您將無法繼續設定下一個組態選項。SSPR 會顯示錯誤詳細資料,以協助您對問題進行疑難排解。
按一下「儲存」。
在確認快顯視窗中,按一下確定。
鎖定 SSPR 後,管理員使用者可以在「管理」使用者介面中查看其他選項,例如「儀表板」、「使用者活動」、「資料分析」等,而在鎖定 SSPR 之前,這些選項不會顯示。
(選擇性) 若要在鎖定組態後修改 SSPR 設定,必須在 SSPRConfiguration.xml 檔案中將 configIsEditable 設定設為 true。
登出 SSPR。
以步驟 3 中定義的管理員使用者身分再次登入 SSPR。
按一下關閉組態,然後按一下確定以確認變更。
為使變更生效,請重新啟動 Tomcat。
若要使用外部系統,您必須指定包含「忘記密碼」功能之 WAR 檔案的位置。此程序包括以下活動:
如果您在安裝期間未指定這些值,現在想要修改設定,可以使用 RBPM 組態公用程式,或者以管理員身分在使用者應用程式中進行變更。
(視情況而定) 若要在 RBPM 組態公用程式中修改設定,請完成以下步驟:
登入安裝了 Identity Applications 的伺服器。
執行 RBPM 組態公用程式。如需詳細資訊,請參閱節 3.0, 安裝和組態程序綜覽。
在公用程式中,導覽至驗證 > 密碼管理。
對於密碼管理提供程式,請指定使用者應用程式 (舊版)。
(視情況而定) 若要在使用者應用程式中修改設定,請完成以下步驟:
以使用者應用程式管理員身分登入。
導覽至管理 > 應用程式組態 > 密碼模組設定 > 登入。
對於忘記密碼,請指定外部。
對於忘記密碼連結,請指定當使用者在登入頁面上按一下忘記密碼時顯示的連結。當使用者按一下此連結時,應用程式會將其導向至外部密碼管理系統。例如:
http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp
對於忘記密碼返回連結,請指定在使用者執行完忘記密碼程序後顯示的連結。使用者按一下此連結會重新導向到指定的連結。例如:
http://localhost/IDMProv
對於忘記密碼 Web 服務 URL,請指定外部轉遞密碼 WAR 用來回呼至 Identity Applications 的 Web 服務 URL。請使用以下格式:
https://idmhost:sslport/idm/pwdmgt/service
返回連結必須使用 SSL,以確保與 Identity Applications 進行安全的 Web 服務通訊。如需詳細資訊,請參閱設定應用程式伺服器之間的 SSL 通訊。
手動將 ExternalPwd.war 複製到執行外部密碼 WAR 功能的遠端應用程式伺服器部署目錄中。
如果您擁有外部密碼 WAR 檔案,想要透過存取忘記密碼功能來測試該功能,則可以在以下位置存取該功能:
直接在瀏覽器中存取。移至外部密碼 WAR 檔案中的「忘記密碼」頁面。例如 http://localhost:8180/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsp。
在使用者應用程式登入頁面中,按一下忘記密碼連結。
如果您使用的是外部密碼管理系統,則必須在部署 Identity Applications 與外部忘記密碼管理 WAR 檔案的 Tomcat 例項之間設定 SSL 通訊。如需詳細資訊,請參閱 Tomcat 文件。
安裝程序假設您要將 SSPR 部署在 Identity Applications 和 Identity Reporting 所在的同一個應用程式伺服器上。依預設,儀表板中應用程式頁面上的內建連結會使用指向本地系統上 SSPR 的相對 URL 格式。例如 \sspr\private\changepassword。如果在分散式環境或叢集環境中安裝應用程式,則必須更新 SSPR 連結的 URL。
如需詳細資訊,請參閱 Identity Applications 說明。
以管理員身分登入儀表板。例如,以 uaadmin 身分登入。
按一下「編輯」。
在「編輯首頁項目」頁面上,將游標停在要更新的項目上,然後按一下編輯圖示。例如,選取變更我的密碼。
對於連結,請指定絕對 URL。例如 http://10.10.10.48:8180/sspr/changepassword。
按一下「儲存」。
對每個要更新的 SSPR 連結重複上述步驟。
完成後,按一下我已完成。
登出系統,然後以一般的使用者身分登入以測試變更。