SAS 系統管理 (48)

教學目標

初步了解 SASLogon 網站的設定管理。

重點概念

首先每個企業皆有入口網站,並且會要求解決方案整合單一登入的功能,在 SAS 9.4 解決方案中所有網站應用程式伺服器皆會透過 SASLogon 網站進行單一登入,所以我們若要整合企業的入口網站通常皆需要客製開發,無法直接透過設定屬性的方式整合企業的入口網站進行單一登入,然而 SAS 解決方案提供哪些與 SASLogon 網站單一登入相關的管理設定將會是本篇的重點。

接著在 SAS 解決方案中我們可以透過 SAS Management Console 工具設定 Middle-Tier 伺服器的安全政策,以利管理 SASLogon 網站。若企業中的資安政策是不允許在客戶端儲存使用者密碼時,則我們可以設定「Allow client password storage 」設為「No」,並且依照順序重新啟動 SAS 伺服器即會生效。

再來若企業需要特別登入、登出和逾時的畫面時,則我們可以先設定「Display custom sign-in message」、「Display custom sign-out message 」和「Display custom time-out message 」為「Yes」,接著修改「logon_custom.jsp 」、「logoff_custom.jsp」和「timeout_custom.jsp」,主要存在安裝目錄 (SASHome) 和設定目錄 (SAS\Config) ,其路徑請參考下表。

類型 路徑
安裝目錄 SASHome/SASWebInfrastructurePlatform/9.4/Static/wars/sas.svcs.logon/WEBINF/view/jsp/default/ui/
設定目錄 SAS/Config/Lev1/Web/WebAppServer/SASServer1_1/sas_webapps/sas.svcs.logon.war/WEBINF/view/jsp/default/ui/

建議直接修改設定目錄,因為若是修改安裝目錄,則會需要透過 SAS 部署管理員重新建立和重新部署,以及按照順序重新啟動伺服器,但若是直接修改設定目錄,則僅需按照順序重新啟動伺服器即可。此外國外還有專家將 Google 、 Microsoft 和 Facebook 帳號整合 SASLogon 伺服器進行登入,其中也是修改「logon_custom.jsp」頁面產生登入按鈕,以利進行 OAuth 授權登入,當然還有需要要設定的細節。

最後若企業需要針對 SAS 網站應用程式伺服器進行逾時的設定時,則要先設定「Log user off on time-out」為「Yes」,預設為「No」代表就算使用者在任何 SAS 網頁應用程式伺服器達到逾時操作的限制時,還是仍然有效使用全域單一登入的工作階段和使用其它 SAS 網頁應用程式伺服器,但若是「Yes」代表只要 使用者在任何 SAS 網頁應用程式伺服器達到逾時操作的限制時,全域單一登入的工作階段就會被終斷和使用者必須重新驗證使用 SAS 網頁應用程式伺服器,並且根據不同的 SAS 網頁應用程式修改 XML 設定檔的內容,請注意逾時分鐘不能小於五分鐘。

1
2
3
<session-config>
<session-timeout>逾時分鐘</session-timeout>
</session-config>

至於不同 SAS 網頁應用程式對應 XML 設定檔的內容,請參考官方文件,請注意當我們修改 web.xml.orig 設定檔完成之後,請務必透過 SAS 部署管理員重新建立和重新部署,以及按照順序重新啟動伺服器。

總結 SAS 平台提供很完整與單一登入相關的設定能夠初步因應企業中的資安政策,然而企業最需要的還是整合企業的入口網站進行單一登入,但是這部份需要針對企業不同的環境進行程式的客製開發,才能夠達到同步企業帳號與 Metadata 伺服器進行單一登入的整合應用。

相關資源