发布时间 : 星期日 文章中国移动SunOnePortal门户系统安全配置手册更新完毕开始阅读b334de0ff12d2af90242e6c9
中国移动SunOnePortal安全配置手册
2.2 授权(Authorization)
权的概念在 Identity Server中是以service 来体现的。如:desktop service。不同的desktop service,就是不同的porlet的组合和展现。管理者将不同的desktop service 分配给不同的用户,那么用户登录到Portal之后看到的就是不同桌面内容的服务。如果用户没有desktop service的服务,他就不能看到桌面的内容。
Identity Server对用户的授权是多级别的:不同的组织,角色,用户都可以有自己的Service。 而对于从属于给定组织或角色的用户来说,service是有继承关系的。对于多层的组织架构来说,service也是同样具有继承性。这就方便了权限的管理。不必将Service一个一个的付给用户。
下图是CMCC组织下所拥有的service:
13
中国移动SunOnePortal安全配置手册
个人的desktop serviceices如下图所示:
2.3 安全管理(Administration)
Administration管理是Identity Server对用户和资源的管理,以及Directory Server的管理。
2.3.1 用户的管理
用户管理包括对用户(user)管理,用户的组(group)管理, 组织(organization)管理, 角色(role)管理,策略(policy)管理。
这些任务可以由管理员(amadmin)来进行,也可以由指定的组织(organization)的管理员来进行。 ? 用户管理:
管理员可以对用户的信息(帐号信息,用户姓名,电话等信息)进行增、删、改等操作。用户可以对自己的也可以进行修改(但是不可删除)。管理员也可以暂时终止用户的访问而不删除他,也可以在Session Status的链接查找是否该用户在线及其在线使用情况。管理员可以为用户设定初始密码,用户登录后,要主动更改其登录Portal Sever的密码。密码的位数应当在8位以上,禁止采用password,和用户名相同的密码等常用密码。并要求用户定期修改自己的密码。
14
中国移动SunOnePortal安全配置手册
? 组(group)管理
是对一组用户的集合。组的划分可以根据用户的共同特征,功能,或者兴趣。它可以为应用系统提供分组用户的信息,方便使用。 ? 组织(organization)管理
它是按照用户的组织架构信息,来对应建立用户组织信息。在其组织下建立用户信息。对应组织,超级管理员可以将对该组织的管理权限分配给其组织的特定的用户。这样,该用户就有了对其组织下人员的管理权限,还包括属于该组织的服务配置,认证管理等权利。
组织的管理是多层的。符合实际情况,我们可以在组织下边再建立组织。 ? 角色管理(role)
角色管理是相似于组、组织的管理。一个用户可以属于多个角色,角色中可以有不同服务(service), 不同策略(policy)。 不同用户的不同桌面展现我们是通过role来设定的。
2.3.2 资源的管理
? 服务管理(Service)
在portal的环境中,我们主要是对desktop service来进行管理。Desktop service 中可以定义用户的首页,各个页面的位置和Tab页中Portlet的组合,页面的属性,Portlet的属性等等。如下图所示:首页(SY)是desktop service的一个属性。
15
中国移动SunOnePortal安全配置手册
? 策略管理(Policy)
策略管理是用于保护基于web的应用服务。我们可以对所集成的web应用服务进行访问策略管理:首先将其作为一种服务(service)注册到identity server中,再建立策略管理,制定访问条件时间段、IP段、指定可以访问的用户、组织、角色或组以及对访问用户的认证方式。通过这样的设置实现IdentityServer对web应用服务的统一访问管理。
如下图是Desktop policy,在js.cmcc下的“Ability to execute Portal Server Desktop” 是默认的policy。
16