在 Liberty 中鑑別使用者
Liberty 伺服器利用使用者登錄來鑑別使用者以及擷取使用者和群組的相關資訊,以執行與安全相關的作業,其中包括鑑別和授權。
關於這項作業
如果要瞭解在 Liberty 中的鑑別如何運作,請參閱鑑別。
您可以配置的鑑別作業可能會隨著您的需求而不同。 除非您使用只能配置單一使用者的 quickStartSecurity 元素,否則,您至少必須配置使用者登錄。 除非您想要變更預設值,否則,您不需要配置 JAAS 值、鑑別快取和 SSO 作業。 請只在您有處理鑑別的 TAI 介面實作時,才配置 TAI 配置。
次主題
- 在 Liberty 中配置使用者登錄
您可以將用來進行鑑別的使用者和群組資訊儲存在多種類型的登錄中。 比方說,您可以使用基本使用者登錄、LDAP 登錄或自訂使用者登錄。您可以選擇性配置兩個或更多 LDAP 登錄,以便在所有已配置的登錄上執行作業。 比方說,當您執行搜尋使用者的作業,會在所有已配置的 LDAP 登錄上執行搜尋。 如果是 z/OS® 系統,您可以使用 SAF 登錄。 配置 MicroProfile JSON Web 記號
您可以配置 Liberty 伺服器,以接受 MicroProfile JSON Web 記號作為鑑別記號。- 在 Liberty 中配置鑑別快取
您可以修改如何在 Liberty 中快取已鑑別的使用者。 - 配置 Liberty 的 JAAS 自訂登入模組
您可以在配置 Liberty 伺服器登入模組之前或之後,配置自訂的「Java™ 鑑別和授權服務 (JAAS)」登入模組。 - 配置 Java Authentication SPI for Containers (JASPIC) 使用者特性
您可以使用 Liberty 伺服器中提供的 com.ibm.wsspi.security.jaspi.ProviderService 介面,開發 JASPIC 提供者以鑑別入埠 Web 要求。 - 在 Liberty 中配置 LTPA
您可以配置 Liberty 伺服器來使用特定的「小型認證機構 (LTPA)」金鑰檔、使用者定義的密碼,以及有效期限。 - OpenID
OpenID 是一種開放式標準,可讓使用者本身接受多個實體的鑑別,而不需要管理多個帳戶或多組認證。Liberty 支援 OpenID 2.0,並在 Web 單一登入中擔任「依賴方」角色。 - OpenID Connect
OpenID Connect 是一種簡式身分通訊協定和開放式標準,以 OAuth 2.0 通訊協定為建置基礎,可讓用戶端應用程式根據「OpenID Connect 提供者」執行的鑑別,來驗證使用者的身分。 - 在 Liberty 中配置「OpenID 依賴方」
您可以將 Liberty 伺服器配置成當作「OpenID 依賴方」,以充分利用 Web 單一登入。 在 Liberty 中配置「JSON Web 記號」
您可以配置 Liberty 伺服器,以建置和耗用「JSON Web 記號 (JWT)」記號,藉以傳播使用者身分或記號。如果要建置或耗用 JWT,請在伺服器配置中配置 JWT 建置器或消費者,然後實作所提供的其中一個 API,以程式設計方式來建置或耗用記號。在 Liberty 中配置社群登入
您可以配置 Liberty 伺服器,讓使用者可以使用其社群媒體帳戶登入,以接受 Liberty 伺服器上所管理之網站的鑑別。請從預先定義的社群媒體平台配置中選擇,或是針對基於 OAuth 2.0 或 OpenID Connect 1.0 標準的任何社群媒體平台,定義您自己的配置。- 在 Liberty 中配置 SPNEGO 鑑別
您可以將「簡易且受保護的 GSS-API 協議機制 (SPNEGO)」Web 鑑別用於 WebSphere® Application Server Liberty,以便對 HTTP 要求使用單一登入。SPNEGO 單一登入可讓 HTTP 使用者只需在其桌面上登入 Microsoft® 網域控制站一次,並利用 Liberty 伺服器來達成單一登入 (SSO)。 - 在 Liberty 中利用 LTPA Cookie 來自訂 SSO 配置
在支援單一登入 (SSO) 配置的情況下,當存取 HTML、JavaServer Pages (JSP) 檔和 Servlet 之類的 Liberty 資源時,或存取共用相同「小型認證機構 (LTPA)」金鑰的多部 Liberty 伺服器其中的資源時,Web 使用者可以只鑑別一次。 - 在 Liberty 中配置 RunAs 鑑別
您可以配置 Liberty 的執行身分規格,以便將鑑別委派給另一個身分。 - 配置 Liberty 以使用 TAI
您可以將 Liberty 配置成利用「信任關聯攔截程式 (TAI)」來整合協力廠商安全服務。TAI 可以在單一登入 (SSO) 之前或之後呼叫。 - 配置自訂表單登入頁面
Liberty 讓您能夠為使用者定義自訂表單登入頁面,以提交鑑別認證。 - 在 Liberty 中配置 SAML Web 瀏覽器 SSO
您可以將 Liberty 伺服器配置成當作 SAML Web 瀏覽器單一登入 (SSO) 服務提供者。 - 在 Liberty 中配置 SAML Web 入埠傳播
您可以將 Liberty 伺服器配置成接受 HTTP 標頭中的 SAML 記號,來作為鑑別記號。此特性通常用於代表已鑑別使用者來使用 SAML 的 Proxy 或 RESTful 用戶端。 - 使用 OpenID Connect
在 Liberty 伺服器中,OpenID Connect 是以 OAuth 2.0 延伸形式來實作。除了提供 OpenID Connect 功能,OpenID Connect 提供者支援所有 OAuth 2.0 功能。 - 鑑別過濾器
您可以使用鑑別過濾器,來決定特定 HTTP Servlet 要求是否交由特定提供者處理。
上層主題: 保護 Liberty 及其應用程式的安全
相關概念:

檔名:twlp_sec_authenticating.html