4.5 在 Identity Manager 中使用單一登入存取

OSP 支援 OAuth2 規格，它需要有一個使用 OAuth 通訊協定進行驗證的 LDAP 驗證伺服器。依預設，Identity Manager 使用 Identity Vault (eDirectory)。只要來源使用 OAuth 通訊協定，您便可以設定多個驗證來源 (或 Identity Vault) 來處理驗證申請。OSP 還可以與 Kerberos 互動。

OSP 和 SSO 如何運作？

如果 Identity Vault 中的指定容器具有使用者的 CN 和密碼，則這些使用者可以在安裝之後立即登入 Identity Manager。如果沒有這些登入帳戶，則只有安裝期間指定的管理員可以立即登入。

當使用者登入其中一個基於瀏覽器的元件時，程序會將使用者的名稱/密碼配對重新導向至 OSP 服務，該服務隨即會查詢驗證伺服器。伺服器會驗證使用者身分證明。隨後，OSP 將 OAuth2 存取記號發給該元件和瀏覽器。瀏覽器在使用者的工作階段期間使用該記號來提供對任何基於瀏覽器之元件的 SSO 存取權。

在登入順序期間，OSP 可以偵測 Identity Manager 環境中是否設定了 Kerberos 或 SAML。若設定了 Kerberos 或 SAML，OSP 會接受來自 Kerberos 票證伺服器或 SAML IDP 的驗證，然後將 OAuth2 存取記號發給使用者所登入的元件。不過，OSP 不支援 MIT 樣式的 Kerberos 或 SAP 登入票證。

OSP 如何與 Kerberos 配合工作？

OSP 和 Kerberos 可確保使用者能夠登入系統一次，以便使用其中一個 Identity Applications 及 Identity Reporting 建立工作階段。如果使用者的工作階段逾時，授權會自動進行，無需使用者介入。每次登出之後，使用者都應關閉瀏覽器，以確保其工作階段結束。否則，應用程式會將使用者重新導向至登入視窗，並且 OSP 會重新授權該使用者工作階段。

如何設定驗證和單一登入存取？

若要讓 OSP 與 SSO 正常運作，您必須安裝 OSP。然後指定用戶端用於存取每個元件的 URL、將驗證申請重新導向至 OSP 的 URL，以及驗證伺服器的設定。您可以在安裝期間或安裝之後使用 RBPM 組態公用程式提供此資訊。您還可以指定 Kerberos 票證伺服器或 SAML IDP 的設定。

如需設定驗證和單一登入存取的詳細資訊，請參閱節 XIII, 在 Identity Manager 中設定單一登入存取。在叢集中，所有叢集成員的組態設定都必須相同。

Identity Manager 使用支援在 OSP 服務與驗證伺服器之間進行 http 和 https 通訊的金鑰儲存區。金鑰儲存區是在您安裝 OSP 時建立的。您也可以建立一個密碼，供 OSP 服務用於與驗證伺服器進行授權互動。如需詳細資訊，請參閱節 28.0, 安裝 Identity Manager 的單一登入和密碼管理元件。

OSP 會產生單個事件，來說明使用者何時登入或登出使用者應用程式或 Identity Reporting︰

然後，XDAS 分類法會將這些 OSP 事件解譯為登入/登出或 SOAP 呼叫使用者應用程式成功，或是「不成功」。