中国移动SunOnePortal门户系统安全配置手册模板.doc

1、密 级：文档编号：项目代号：中国移动SunOne Portal安全配置手册Version 1.0中国移动通信二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限和文档关键关系1创建、修改、读取负责编制、修改、审核2同意负责本文档同意程序3标准化审核作为本项目标标准化责任人，负责对本文档进行标准化审核4读取5读取目 录第一章SunOne Portal安全概述61.1SunOnePortal介绍61.2工作原理71.2.1安全接入81.2.2用户身份认证和授权:91.2.3资源访问控制91.2.4集中信息存取101.3功效和定位101.

2、4特点和不足11第二章3A服务122.1身份认证(Authentication)122.2授权(Authorization)132.3安全管理(Administration)142.3.1用户管理142.3.2资源管理152.3.3Directory Server管理17第三章SunOne Portal资源访问控制193.1Portlet访问其它应用系统方法193.2Porlet和Container203.3用户、组织、角色203.4Service和Policy 应用：213.5访问控制资源223.6Degelated Administrator243.7用户化用户登录验证模块253.8使用S

3、SL访问SunOne Portal28附录 术语表31第一章 SunOne Portal安全概述1.1 SunOnePortal介绍SunOne Portal是Sun企业为企业提供信息门户处理方案产品，它是基于C/SWeb架构，能够满足B2B, B2C, B2E企业信息平台要求。SunOne Portal能够对企业各个应用系统进行整合展现，能够依据用户需要进行内容定制和个性化展现。它能够对企业各应用系统资源进行统一管理，对各系统用户进行统一管理，能够按用户权限对资源进行分配，实现SSO单点登录。SunOne Portal标准配置产品包含：SunOne WebServer, SunOne Ide

4、ntity Server, SunOne Directory Server, SunOne RemoteAccess. Mobile RemoteAccess(这里介绍技术是依据Portal Server 6.2)。SunOne WebServer: 它是Web服务器, 为Portal应用提供java运行环境。支持SSL加密通讯。SunOne Identity Server：它是SunOne 认证服务器，为Portal提供认证服务，包含身份认证，授权服务，单点登录服务。SunOne Directory Sever: 它是SunOne目录服务器，为Identity Server、Portal s

5、erver提供信息存放服务：包含用户信息，访问配置信息，认证信息，权限信息和portal配置信息。SunOne Portal Remote Access: 它为Portal Server提供外网接入服务。是用户由外网访问Portal反向代理，支持SSL访问协议。Mobile Remote Acess：提供支持WAP协议手持设备访问服务。1.2 工作原理 下图是江苏移动统一信息平台首页：在这个页面中，用户经过登陆到江苏移动统一信息平台访问到OA系统，经营分析等系统提供功效，这些系统功效是经过统一信息平台展现给用户。 Portal信息是以Portlet为最小单位展现给用户，每个portlet全部为

6、用户提供对应功效。在页面上，多个porlet组成了Tab页面用户能够经过点击Tab链接进入到相关专题页面。Portal开发关键包含以下多个方面：1 集成内容开发；确定要集成内容和方法。完成由Portal到其它系统单点登录，数据抽取和展现工作。2 Portlet和页面开发、布署。Porlet是内容展现。Tab页是多个Portlet聚合在一起页面。它们开发是根据用户对界面需求来进行。3 用户、组织、角色信息和服务（service）信息建立。在Identity Server上建立用户信息、组织、角色信息及服务信息。服务包含很多个类，我们常见是桌面服务（desktop service），我们依据用户需

7、要建立不一样内容桌面服务。4 Desktop Service分配。根据需求将不一样桌面服务分配到不一样组织、角色、用户中去。下面着重介绍SunOnePortal安全方面特征：下图是一个经典经过Remote Access访问Portal系统拓扑示意图：SunOnePortal安全性包含四个方面: 一,安全接入，二, 用户身份认证和授权。三，Portal资源访问控制。四，集中信息储存。1.2.1 安全接入安全接入是确保访问用户和server之间，提供不一样服务server和server之间传输数据不被监听，窃取和窜改。而且确保Portal服务器对终端用户开放服务仅仅限于http或https服务端口

8、。对于用户经过外网访问portal，要先经过RemoteAccess组件，这之间访问协议通常配置成SSL， 企业职员在企业DMZ区访问Poral，访问协议也支持SSL。 而在Portal服务器和Directory Server之间访问一样支持ldap协议上SSL。这么就确保从用户到RemoteAccess，从Portal到Directory Server之间信息传输安全性。RemoteAcess通常是布署在企业DMZ区，通常有两块网卡，一个连接到Internet，另一块连接到企业内部网。企业职员假如从外网访问Portal Server服务, 键入是RemoteAcess所提供网页地址，Remo

9、teAcess经过对URL地址重写，将以用户请求转发给Portal Server来处理并将结果转发给用户。1.2.2 用户身份认证和授权:用户访问Portal身份认证和授权是由Identiy Server来完成。当用户访问Portal服务时。IdentityServer首先截获用户请求。当检测到用户没有被认证过后，Idnetity Server就会将用户转向到登录界面。要求用户输入用户名和密码。在用户提交用户名和密码后。IdentityServer会到Directory Server用户列表中去匹配，假如验证经过，IdentityServer就会将用户组织信息角色信息取出来，放在session

10、中， 并对用户要访问Portal桌面进行进行权限匹配，假如该职员有权进行访问。则IdentityServer就将用户重定向到Portal服务页面。而Portal则依据用户在session中存放用户桌面服务信息来组织页面。1.2.3 资源访问控制Portal作为一个集成平台。所集成系统是经过Web页面来展现给终端用户。页面上信息展现单位是Portlet， Tab页是多个portlet集合。对于不一样组织，角色用户来说她们权限是不一样，经过Portal访问到应用系统也不一样。用户看到portlet、Tab页全部不会相同。其次Portlet和Tab组织，能够依据用户需求。根据组织，角色进行定制。在S

11、unOnePortal中控制不一样Portlet组合、页面组合。不一样权限用户页面就是不一样Tab页和porlet组合。这些组合（包含属性信息）是存放在Desktop Profile文件中，是用户、组织、角色属性。在开发过程中，我们要开发这些Tab页和portlet，来将其它系统集成在portal上。 再依据需求对组织desktop profile,角色desktop profile或用户个人desktop profile进行定制，以完成个性化，角色化、组织化桌面资源展现。1.2.4 集中信息存取Direcotry Server是Portal平台关键组成部分。它为Portal提供信息存放服务。

12、Portal全部配置信息；用户，组织，角色等信息全部存放在 Directory Server中。 Portal和Directory Server之间通讯是LDAP协议，或基于LDAPSSL协议。在安装过程中，DirecotryServer为Portal提供一个访问用户，这个用户用于建立和维护Potal全部配置信息和用户等信息。用户名密码是以加密形式储存在Portal配置文件中。1.3 功效和定位SunOne Portal是一个企业级信息门户平台。这个平台为提供给企业以下功效：1 为企业各个应用系统提供内容聚合展现平台：企业各个应用系统往往全部是各自独立。用户在访问它们时候，要做很多反复登陆操作

13、。Portal经过实现对各个应用系统内容聚合展现, 使得用户经过一个平台就能够访问到多个系统, 这么大大方便用户。经过这么整合展现，提升了各应用系统之间信息关联性和共享性。 SunOne Portal为企业建立了一个信息交流和共享平台，一个协同工作平台。这是Potal最大优点。2 实现单点登陆，提升安全性：用户登录Portal以后，访问其它系统无需再次输入用户名/密码。这首先方便了用户使用。其次也提升了系统安全性，因为记忆和使用多个用户名和密码这会在客观上给系统带来不安全性。Portal功效之一是将各应用系统用户名和密码进行整合。使用Portal对它们进行统一管理。3 实现统一用户管理，建立集

14、中用户资源信息:对于不一样应用系统，用户信息往往也是分散而各自独立。伴随企业信息化建设深入。系统之间关联性愈来愈关键。用户信息不一样往往给信息共享和交换带来很大不便，同时多个用户名管理和维护也给企业带来安全上隐患。Portal经过建立统一集中用户信息。为企业其它应用系统提供了统一集中目录信息服务。为了兼容其它用户系统，SunOne Portal能够经过Meta Directory Server软件，实现和现有系统用户信息同时。经过对IdentityServer职员信息管理，就能够实现对各个应用系统用户管理。这么集中管理, 免去了分散管理所带来弊端, 增强了用户信息集中性和利用率，也为企业职员信

15、息化管理建立了一个统一、标准平台。 1.4 特点和不足SunOne Portal 作为企业门户网站处理方案，它实现了标准电子商务体系结构。它所提供关键产品，为用户提供了含有高度可伸缩门户网站基础结构。用户在这个基础上能够做更深入扩展：将更多应用系统集成进来。实现应用集成，信息共享，协同工作等功效。在技术层面上看，SunOne Portal是web应用系统。SunOne Portal Server和Identity Server是遵照J2EE标准来开发、实现。所以它们能够布署在诸如WebLogic, WebSphere, SunOne Application等应用服务器上，这么能够有效利用用户现

16、有资源，有充足灵活性。SunOne Portal以SunOne Directory为目录服务器，这种目录服务器在同类产品中含有优异性能。SunOne Poratl产品组件少，结构清楚，功效相对简单实用。Portal开发相对轻易，能够为用户节省投入成本。SunOne Portal作为SunOne门户处理方案产品和业界其它产品比较。功效相对简单，产品线比较短。 SunOne Identity Server.功效比较单一。实现功效比较有限。在Poral用户管理方面，SSO方面，实施人员要做一定开发工作。第二章 3A服务 3A 是指authentication,authorization,admini

17、stration。SunOne Portal组件：SunOne Identity Server所提供服务就涵盖这三个方面：2.1 身份认证(Authentication)1 Anonymous访问, 我们严禁使用匿名访问方法。2 需要认证访问，Identity Serverz支持认证方法包含：Certificate-basedLDAP，Membership (Self-Registration)， NT, Radius, SafeWord, Unix。 对应不一样认证方法，我们需要不一样软件/硬件相配和。 我们只采取LDAP认证方法, 即用户用户名和密码是配置在目录服务器中，Identity

18、Server将用户输入用户名和密码和目录服务器中相比来判定是否许可用户是否能够登录。在配置中，我们需要指定目录服务器访问地址，访问帐号和密码（密码是加密保留）。Identity Server采取基于加密算法token字符串，作为标识用户方法：当用户访问由IdentityServer 所保护Web应用时,如Portal，Identity ServerAgent就会将请求截获，并转发给Identity Server做认证。Ientity Server从用户Cookie中取出token串，来作验证，假如用户没有Token串或验证没有经过，IentityServer就会将用户重定向到Ientity S

19、erver认证界面。请求用户输入用户名和密码。只有当验证经过时，Ientity Server会将用户原先请求转向到它访问应用页面去。Identity Server多个认证方法能够应用到不一样组织，角色，甚至是不一样策略服务全部能够支持不一样认证管理方法。2.2 授权(Authorization)权概念在 Identity Server中是以service 来表现。如：desktop service。不一样desktop service,就是不一样porlet组合和展现。管理者将不一样desktop service 分配给不一样用户，那么用户登录到Portal以后看到就是不一样桌面内容服务。假如

20、用户没有desktop service服务，她就不能看到桌面内容。Identity Server对用户授权是多等级：不一样组织，角色，用户全部能够有自己Service。 而对于隶属于给定组织或角色用户来说，service是有继承关系。对于多层组织架构来说，service也是一样含有继承性。这就方便了权限管理。无须将Service一个一个付给用户。下图是CMCC组织下所拥有service:个人desktop serviceices以下图所表示:2.3 安全管理(Administration)Administration管理是Identity Server对用户和资源管理，和Directory S

21、erver管理。2.3.1 用户管理用户管理包含对用户(user)管理，用户组(group)管理, 组织(organization)管理, 角色(role)管理，策略(policy)管理。这些任务能够由管理员(amadmin)来进行，也能够由指定组织(organization)管理员来进行。l 用户管理:管理员能够对用户信息(帐号信息，用户姓名，电话等信息)进行增、删、改等操作。用户能够对自己也能够进行修改（不过不可删除）。管理员也能够临时终止用户访问而不删除她，也能够在Session Status链接查找是否该用户在线及其在线使用情况。管理员能够为用户设定初始密码，用户登录后，要主动更改其登

22、录Portal Sever密码。密码位数应该在8位以上，严禁采取password，和用户名相同密码等常见密码。并要求用户定时修改自己密码。l 组(group)管理是对一组用户集合。组划分能够依据用户共同特征，功效，或爱好。它能够为应用系统提供分组用户信息，方便使用。l 组织(organization)管理它是根据用户组织架构信息，来对应建立用户组织信息。在其组织下建立用户信息。对应组织，超级管理员能够将对该组织管理权限分配给其组织特定用户。这么，该用户就有了对其组织下人员管理权限，还包含属于该组织服务配置，认证管理等权利。组织管理是多层。符合实际情况，我们能够在组织下边再建立组织。l 角色管理

23、(role)角色管理是相同于组、组织管理。一个用户能够属于多个角色，角色中能够有不一样服务(service), 不一样策略(policy)。 不一样用户不一样桌面展现我们是经过role来设定。2.3.2 资源管理l 服务管理（Service）在portal环境中，我们关键是对desktop service来进行管理。Desktop service 中能够定义用户首页，各个页面位置和Tab页中Portlet组合，页面属性，Portlet属性等等。以下图所表示：首页（SY）是desktop service一个属性。l 策略管理(Policy)策略管理是用于保护基于web应用服务。我们能够对所集成w

24、eb应用服务进行访问策略管理：首先将其作为一个服务（service）注册到identity server中，再建立策略管理，制订访问条件时间段、IP段、指定能够访问用户、组织、角色或组和对访问用户认证方法。经过这么设置实现IdentityServer对web应用服务统一访问管理。以下图是Desktop policy，在js.cmcc下“Ability to execute Portal Server Desktop” 是默认policy。l 日志服务（logging service）SunOne Identity日志服务（logging service）统计下用户访问SunOne Portal

25、部分信息。包含 access denial(拒绝访问)、approvals（准许）、代码例外（code exception）等信息。管理员经过对日志分析能够了解用户login logout,idel time等访问情况。 Logging service 配置是amLogging.xml，位置在/SUNWam/config/xml。我们能够经过它来配置logging service各项参数。日志输出分文本和数据库两种(Flat file format, Relational DataBase Format)，作为文本文件输出我们能够在/var/opt/SUNWam/ 目录下找到。 它们输出信息项

26、请参考联机文档。Logger logger = Logger.getLogger(SampleLogFile);/ Creates the file or table in the LogLocation specified in the/amLogging.xml and returns the Logger object.LogRecord lr = new LogRecord(Level.INFO, SampleData, ssoToken);/ Creates the LogRecord filling details from ssoToken.logger.log(lr,ssoTo

27、ken);/ Writes the info into the backend file, db or remote server.Logging service也提供API供我们使用，我们能够在开发程序中使用Logger Class，它package: com.sun.identity.log。下面提供代码举例：2.3.3 Directory Server管理SunOne Directory Sever 安全设置有以下几点，首先，作为SunOne Portal平台一个组件，在安装Portal Server时DirectorySever对安全做了默认设定，Portal Server是使用一个固

28、定帐号来访问Directory Server，它是Directory Server超级用户，它能够对portal server用户信息进行管理。不过我们没有给予它管理员权限，它不能够对Directory配置设置进行修改。其次，对于应用中用户访问Directory权限控制,在各自应用中，只会对每个应用系统建立一个统一帐号来实现对其应用系统用户访问和管理。而且访问和管理范围只是对其应用系统用户。在实际中，我们要严禁Anonymous访问权限以下图所表示严禁Anonymous访问：假如portal server和 Driectory Server布署不在同一网络而需要加密访问，能够设置Directo

29、ry ServerSSL加密访问。怎样配置SSL访问Directory, 请参阅SunOne Directory 文档。我们也开启Audit Log, errorLog, access Log: 来监视Directory访问情况。 以下列相是从/host-name/config/dse.ldif文件中摘得，相关配置以下nsslapd-accesslog-logging-enabled: onnsslapd-threadnumber: 45nsslapd-accesslog: /usr/ldap/slapd-emis03/logs/accessnsslapd-accesslog-maxlogsp

30、erdir: 10nsslapd-accesslog-maxlogsize: 100nsslapd-accesslog-logrotationtime: 1nsslapd-accesslog-logrotationtimeunit: daynsslapd-errorlog: /usr/ldap/slapd-emis03/logs/errorsnsslapd-errorlog-logging-enabled: onnsslapd-errorlog-maxlogsperdir: 2nsslapd-errorlog-maxlogsize: 100nsslapd-errorlog-logrotatio

31、ntime: 1nsslapd-errorlog-logrotationtimeunit: weeknsslapd-auditlog: /usr/ldap/slapd-emis03/logs/audit第三章 SunOne Portal资源访问控制首先我们先叙述SunOne Portal集成其它系统方法:3.1 Portlet访问其它应用系统方法我们先来讨论SSO方法：1入侵式单点登录：采取Identity Server 身份管理服务器，提供单点登录处理方案使用户只需验证一次就能访问多个应用，换句话说，当用户访问后续，受保护应用时，无需再次输入用户名和口令。用户经过访问控制机制来保护企业数据和

32、网络资源。当用户企图访问受保护网络资源时，必需经过用户身份验证，验证成功以后，用户取得访问网络资源授权，基于用户为该用户定义和分配访问控制策略。假如用户想要访问多个受保护资源，SSO服务为用户提供已验证身份证实，即一个令牌，称为SSOToken，该令牌会伴随用户访问提交给对应网站，受保护Web应用服务要安装有用户Agent，Agent 能校验令牌正当性，用户无需再次进行身份验证。而且所集成系统认证系统要做对应修改。使用Portlet展示集成应用时，大全部采取iFrame方法。即由被集成系统提供界面。2. 非入侵式单点登录：当Portlet要展示集成应用系统时，portal首先在用户信息目录中寻

33、求用户在所集成系统用户名和密码。当发觉为空时，它会请求用户输入用户名和密码。当用户输入并提交后， Portal就会统计下这个用户名/密码，并向那个系统为用户做一次登录URL post/get操作。登陆成功以后，Portlet就展示出对应内容。当然在下次用户再访问时，系统再次帮助用户做登录操作，而无需用户再次输入用户名和密码，SunOne Portal中这种SSO方法要做对应开发，Identity Server也要扩展用户存放属性，使之能够存放用户在不一样系统中用户名和密码。我们也要开发对应程序来为用户提供界面来存放和更改用户名和密码。相比之下，侵入式单点登录方法要轻易实现。不管是入侵式单点登录

34、，还是非入侵式单点登录，Portlet全部能够对所集成系统进行内容抽取，而不采取URL集成方法。不过要看对方有没有对应API能够提供。3.2 Porlet和ContainerPortlet 和Container是组成页面组成单位。不一样应用系统全部是经过Portlet来展现。而Container 是一组Porlet集合，在页面上是以Tab页方法来展现。3.3 用户、组织、角色下图说明了用户和组织关系，组织和组织关系：Org: Organization下图说明了用户和角色之间关系：从上两图我们能够看出：用户只可能属于一个组织；而她能够拥有多个角色。在SunOne Identity Server中

35、，角色隶属于组织。组织是能够继承。组织所拥有属性是能够被下级组织所继承。不过角色不能有继承关系。3.4 Service和Policy 应用：我们先介绍Desktop Service一个关键属性:Display Profile概念。Display profile是用于展现Portal页面属性文件，是XML格式文本文件。它定义了Portal页面中有哪些Tab、Tab属、Tab排列位置; Portlet种类、属性，在Tab页中组合和排列位置等等信息。PortalDesktop servlet就是依据它来组织portal页面，展现给用户。这个文件不需要手工编写，它是经过我们在做页面定制过程中生成。不难

36、推知，对于不一样访问权限不一样用户来说，她们display profile一定是不一样。Desktop Service 是作为一个服务被注册到IdentityServer当中。对于Portal应用来说，我们首先要将服务注册根组织下。并建立模板，Portal Server默认已经帮助我们在根组织下做了注册Desktop Service，并建立了模板。查看方法以下：登录到 选择 左下frameset view 中 “Service” 待页面刷新后，点击“Desktop”一项，需要注意是：在根组织下各级组织下全部要注册desktop service， 不然改组织下用户将没有desktop服务。假如我

37、们要做对该组织页面做用户化，我们就要为desktop service 创建模板。接下来我们要查看policy服务：Policy服务是Identity Server用于控制对Service访问方法。登陆到 选择 左下frameset view 中 “Policy”，待页面刷新后，点击“Ability to execute Portal Server Desktop”一项, 在右下frameset 中我们就能够看到Desktop Policy 部分设定：General: 设定指是 desktop policy名字Rule： 是指desktop policy所对应service名字。 这里对象就是d

38、esktop service。对desktop service所拥有操作就是可实施desktop:“Has Privilege to Execute Desktop”Subjects: 是指这个policy所应用对象，缺省只有一个值“OrgExecuteDesktop”有权限实施desktop组织，是包含了根组织：js.cmcc， 即全部js.cmcc组织全部能够实施desktop桌面服务。Condition: 是限制实施（访问）desktop service条件，我们能够从以下方面来限制：IP: 用户IP地址，Period: 时间段，即不在这个系统时间内对Desktop Service访问，

39、Identity是不许可。对于访问desktop service 来说，系统默认是没有Condition限制。3.5 访问控制资源我们能够从组织、角色、用户三个层面来看SunOne Portal是怎样实现对资源进行访问控制。首先要给根组织注册desktop service， 假如组织没有desktop service，其下用户没有desktop service。Execute Desktop Policy策略建立是默认。即全部组织全部能够访问Desktop 而且根节点组织以下组织全部会继承这个Policy。假如对这个Policy做改动，其下全部组织Desktop policy全部会跟着改变。依

40、据组织实际架构建立组织层次关系。如：在js.cmcc组织下建立cmcc组织， 再为cmcc注册desktop service。 假如cmcc组织桌面和js.cmcc不一样。我们就对它desktop service进行修改。这关键经过修改display profile来完成。因为cmccdesktop service display profile默认值是js.cmccdisplay profile值。所以我们只要对不一样地方做改动就能够了。这么通常属于cmcc 组织用户登录后就会看到和在根组织下用户不一样桌面。这种在组织下面建立用户做法，存在一个问题：假如用户组织发生改变，假如精简一个部门，那

41、么该部门下用户全部要重新分配组织，先除去原有用户，再在新组织下再建立。她们密码和个性化信息将丢失。 为了处理这个问题，我们能够采取另一个方法：将用户全部建立在根组织下，平行。 在根下建立组织机构。只是将组织信息作为用户属性，付给用户，以备应用系统使用。结构以下：当用户组织发生改变。只要修改她们组织属性就能够了。不过这么用户信息组织方法怎样进行访问控制呢？SunOne IdentityServe为我们提供role用户权限划分方法一样能够实现资源访问控制。 这么分配组织方法也有个问题：用户不能直观查看组织用户情况。即不知道给定组织下全部有哪些用户。这个问题处理方法有两种：1，根据组织和role资源

42、分配方法同时使用。即：建立对应固定组织，将属于这些组用户建立在她们下边。如根据市、地域。对于那些对应易变组织或一类资源分配组，我们就建立role，然后将role分配给用户。2： 资源分配完全靠role来控制。所建立组织下没有用户。用户全部是平行建立在根组织下。我们需要开发一个组织用户查看界面，即选定给定组织，界面就会显示出该组织用户。SunOne Identity Sever管理端console有API可供对界面开发。1 Role；有页面定制不能根据组织划分，如：经理等级用户能够查看“经营分析系统（JYFX）”页面。这种情况需要经过 role来完成。我们能够创建role：命名为“JYFX”,它

43、类型是 service。修改service: 点击 JYFX。 在右下frameset中，选择 view 值为 service, 待页面刷新后，点击 Desktop, 然后对DesktopTab 和channel进行定制，修改它display profile。 定制完成后，我们将经理等级用户加入到JYFX角色中。这么用户登录后就能够看到经过定制后JYFX页面了。2 对根组织desktop service进行页面设计。根组织界面是对各个组织和角色全部是通用，是一个基础架构。而其下组织和角色桌面定制全部是对根组织desktop service所定制界面修改、添加或删除。3.6 Degelated

44、AdministratorDegelated Administrator是将组织管理权限分配给组织管理员。这项功效在组织庞大企业中有用。 在这么企业中，经过一个管理员帐户amadmin来管理全部组织、角色、用户、页面是一件很繁重事情。SunOne Identity Server建立了很多service role用于管理用户和组织。以下列表是defaultroles：l Top-Level Adminl Group Adminl Organization Adminl Organization Help Desk Adminl People Container Adminl Container

45、Adminl Container Help Desk Admin在这里比较有用处是 “Container Admin”和“Container Help Desk Admin”。拥有“Container Admin”role用户能够管理同级组织下全部用户信息、service、policy和role等信息。“Container Help Desk Admin”是读取同级组织下用户信息、service、policy和role等信息。它只能修改用户password信息。Amadmin超级用户将这些有管理权限角色分配个各个组织指定用户，这些用户就成为这些组织管理员，有权力来管理她们各自组织、用户信息。具

46、体权限分配操作过程和一般role分配相同。3.7 用户化用户登录验证模块对于SunOne portal登录过程（即在Identity Server验证过程）往往需要用户化。如完成：统计非法用户尝试登录、统计特定用户登录。从特定IP登录等工作。怎样既确保用户安全顺利登录，又能够达成我们特殊需求。IdentityServer其实给我们提供了很方便API来完成用户化登录过程。下面就举例来简明说明需要修改哪些文件来完成这项工作：我们有一个开发好登录验证模块：它包含：LoginModuleSample.jar 和 LoginModuleSample.xml, jar文件是LoginModuleSample.xml内容： yonghu ming PasswordCallback echoPass