安全领域定义负责对用户进行身份验证和/或授权的用户、用户组和访问策略的来源。
可以在 realms.xml 文件中为 CA APM 安全配置一个或多个安全领域。 Introscope 和 CA CEM 使用在 realms.xml 中配置的安全领域来决定如何对用户进行身份验证和授权。 用户登录到 Introscope 或者 CA CEM 时,登录到的应用程序会以 realms.xml 中定义的顺序检查每个安全领域。 应用程序将检查以查看具有给定 ID 的用户是否存在。 如果提供的用户密码与为特定安全领域提供的值匹配,则身份验证成功。 如果以下条件之一成立,则身份验证失败:
有关在 realms.xml 中配置领域的信息,请参阅以下主题:
使用以下三个安全领域中的一个或受支持的任意组合来部署 Introscope 安全设置:
Introscope 提供本地安全设置作为默认安全设置。
重要信息:最好将默认 CA APM 登录从 Workstation、WebView、Web Start Workstation 或 CEM 控制台更改为企业管理器。 如果未遵循此最佳实践,并且使用了唯一的 Introscope 本地安全设置,则身份被盗的可能性将增大。 因此,CA EEM 是建议使用的安全机制。
如果使用本地 XML 文件进行授权,则只能使用 LDAP 安全领域对 CA APM 用户进行身份验证。 有关详细信息,请参阅使用 LDAP 保护 Introscope。
注意:尽管 CA EEM 安全设置对于 Introscope 是可选的,但出于多种原因,CA Technologies 建议使用 CA EEM 来实现 Introscope 安全。 CA EEM 提供了符合行业标准的解决方案、用于管理用户的用户界面以及允许使用细粒度授权权限的集中式存储。 如果要保护 Introscope 应用程序分类视图,请部署 CA EEM。
可以部署 CA EEM 对 CA APM 用户进行身份验证和授权。
也可以将 CA EEM 配置为使用 LDAP 进行身份验证,使用 CA EEM 进行授权。 有关详细信息,请参阅配置使用 LDAP 的 CA EEM 身份验证。
此表列出了 Introscope 安全领域支持的主要功能。
|
安全领域支持的功能 |
CA EEM |
LDAP |
本地 |
|---|---|---|---|
|
多个企业管理器共享集中的安全服务器 |
是 |
是 |
否 |
|
安全领域始终可用 |
否 |
否 |
是 在企业管理器中运行,因此它始终可用。 |
|
支持故障切换 |
是 |
是 |
不适用 |
|
与 SiteMinder 集成 |
是 |
否 |
否 |
|
支持细粒度权限?
|
是 |
不适用 |
否 |
|
行业标准解决方案 |
是 |
是 |
否 |
|
允许进行审核 |
是 |
是 |
否 |
|
包括用于管理用户的用户界面 |
是 |
是 |
否 |
|
包括用于管理访问策略的用户界面 |
是 |
不适用 |
否 |
可以使用以下两个安全领域的一个或受支持的任意组合部署 CA CEM 安全:
Introscope 提供本地安全设置作为默认安全设置。
注意:出于多种原因,CA Technologies 建议使用 CA EEM 来实现 CA APM 安全。 CA EEM 提供了符合行业标准的解决方案、用于管理用户的用户界面以及允许使用细粒度授权权限的集中式存储。
有关 CA EEM 的详细信息,请参阅使用 CA EEM 保护 Introscope。
CA APM 提供单点登录功能。 可以访问 CA CEM 和 Introscope 的用户能够在这两个应用程序之间导航,系统不会再次提示登录。 在进行 CA CEM 或 Introscope 用户身份验证时,CA APM 将获得用户的身份以及对用户进行身份验证的领域的名称。 Introscope 使用此信息来获得用户所属的组。 然后,CA APM 使用以下方法之一对用户进行授权:
在设置 CA APM 安全时,组织必须决定要部署哪个单一的或混合的安全领域。 要使 CA APM 用户能访问 Introscope,请部署本地领域或 CA EEM 领域。
注意:CA Technologies 建议部署 CA EEM 身份验证和授权。 有关详细信息,请参阅使用 CA EEM 保护 CA APM 的优势。
|
版权所有 © 2013 CA。
保留所有权利。
|
|