发布时间 : 星期六 文章中国移动SunOnePortal门户系统安全配置手册更新完毕开始阅读
中国移动SunOnePortal安全配置手册
从上两图我们可以看出:用户只可能属于一个组织;而他可以拥有多个角色。 在SunOne Identity Server中,角色从属于组织。组织是可以继承的。组织所拥有的属性是可以被下级组织所继承。但是角色不能有继承关系。
3.4 Service和Policy 的应用:
我们先介绍Desktop Service的一个重要的属性:Display Profile的概念。 Display profile是用于展现Portal页面的属性文件,是XML格式的文本文件。它定义了Portal页面中的有哪些Tab、Tab的属、Tab的排列位置; Portlet的种类、属性,在Tab页中的组合以及排列位置等等信息。Portal的Desktop servlet就是根据它来组织portal的页面,展现给用户。这个文件不需要手工编写,它是通过我们在做页面定制的过程中生成的。不难推知,对于不同访问权限不同的用户来说,他们的display profile一定是不同的。Desktop Service 是作为一种服务被注册到IdentityServer当中的。
对于Portal应用来说,我们首先要将服务注册的根组织下。并建立模板, Portal Server默认的已经帮助我们在根组织下做了注册Desktop Service,并建立了模板。 查看的方法如下:
登录到http://emis.js.cmcc/amconsole
选择 左下frameset view 中的 “Service” 待页面刷新后,点击“Desktop”一项,
21
中国移动SunOnePortal安全配置手册
需要注意的是:在根组织下的各级组织下都要注册desktop service, 否则改组织下的用户将没有desktop服务。如果我们要做对该组织的页面做客户化,我们就要为desktop service 创建模板。 接下来我们要查看policy的服务:
Policy服务是Identity Server用于控制对Service访问的方法。 登陆到http://emis.js.cmcc/amconsole
选择 左下frameset view 中的 “Policy”,待页面刷新后,点击“Ability to execute Portal Server Desktop”一项, 在右下的frameset 中我们就可以看到Desktop Policy 的一些设定:
General: 设定指是 desktop policy的名字
Rule: 是指desktop policy所对应service的名字。 这里的对象就是desktop service。对desktop service所拥有的操作就是可执行desktop: “Has Privilege to Execute Desktop”
Subjects: 是指这个policy所应用的对象,缺省的只有一个值
“OrgExecuteDesktop”有权限执行desktop的组织,是包含了根组织:js.cmcc, 即所有js.cmcc的组织都可以执行的desktop桌面服务。
Condition: 是限制执行(访问)desktop service的条件,我们可以从如下方面来限制:IP: 用户的IP地址,Period: 时间段,即不在这个系统时间内的对Desktop Service的访问,Identity是不允许的。
对于访问desktop service 来说,系统默认是没有Condition的限制。
3.5 访问控制资源
我们可以从组织、角色、用户三个层面来看SunOne Portal是如何实现对资源进行访问控制。
首先要给根组织注册desktop service, 如果组织没有desktop service,其下的用户没有desktop service。Execute Desktop Policy策略的建立是默认的。即所有的组织都可以访问Desktop 而且根节点组织以下的组织都会继承这
22
中国移动SunOnePortal安全配置手册
个Policy。如果对这个Policy做改动,其下的所有组织的Desktop policy都会跟着变化。根据组织的实际架构建立组织的层次关系。如:在js.cmcc组织下建立cmcc组织, 再为cmcc注册desktop service。 如果cmcc组织的桌面和js.cmcc的不同。我们就对它的desktop service进行修改。这主要通过修改display profile来完成的。因为cmcc的desktop service的 display profile的默认值是js.cmcc的display profile的值。因此我们只要对不同的地方做改动就可以了。这样凡是属于cmcc 组织的用户登录后就会看到和在根组织下的用户不一样的桌面。
这种在组织下面建立用户的做法,存在一个问题:如果用户的组织发生变化,如果精简一个部门,那么该部门下的用户都要重新分配组织,先除去原有的用户,再在新的组织下再建立。他们的密码和个性化的信息将丢失。 为了解决这个问题,我们可以采取另一种方法:将用户都建立在根组织下,平行的。 在根下建立组织机构。只是将组织信息作为用户的属性,付给用户,以备应用系统使用。结构如下:
当用户的组织发生变化。只要修改他们的组织属性就可以了。但是这样的用户信息组织方式怎样进行访问控制呢?SunOne IdentityServe为我们提供role的用户权限划分方式同样可以实现资源的访问控制。 这样的分配组织的方法也有个问题:用户不能直观的查看组织的用户情况。即不知道给定的组织下都有哪些用户。这个问题的解决方法有两种:1,按照组织和role的资源分配方式同时使用。即:建立相应固定的组织,将属于这些组的用户建立在他们的下边。如按照市、地区。对于那些相应易变的组织或一类资源分配组,我们就建立role的,然后将role分配给用户。2: 资源的分配完全靠role来控制。所建立的组织下
23
中国移动SunOnePortal安全配置手册
没有用户。用户都是平行的建立在根组织下的。我们需要开发一个组织用户的查看的界面,即选定给定的组织,界面就会显示出该组织的用户。SunOne Identity Sever的管理端 console有API可供对界面的开发。
1. Role;有的页面定制不能按照组织划分,如:经理级别的用户可以查看“经营分析系统(JYFX)”的页面。这种情况需要通过 role来完成。我们可以创建role:命名为“JYFX”,它的类型是 service。修改service: 点击 JYFX。 在右下frameset中,选择 view 值为 service, 待页面刷新后,点击 Desktop, 然后对Desktop的Tab 和channel进行定制,修改它的display profile。 定制的完成后,我们将经理级别的用户加入到JYFX角色中。这样用户登录后就可以看到经过定制后的JYFX页面了。
2.对根组织的desktop service进行页面设计。根组织的界面是对各个组织和角色都是通用的,是一个基本的架构。而其下的组织和角色的桌面定制都是对根组织desktop service所定制的界面修改、添加或删除。
3.6 Degelated Administrator
Degelated Administrator是将组织的管理权限分配给组织的管理员。这项功能在组织庞大企业中有用。 在这样的企业中,通过一个管理员帐户amadmin来管理所有的组织、角色、用户、页面是一件很繁重的事情。SunOne Identity Server建立了很多service role用于管理用户和组织。如下的列表是default的roles:
? Top-Level Admin ? Group Admin ? Organization Admin
? Organization Help Desk Admin ? People Container Admin ? Container Admin
? Container Help Desk Admin
24