设置登录策略

在使用配置中心设置 Framework、Web Access 或 BridgeIT 应用程序时,可指定要使用的登录策略。有关选择合适的登录策略的信息,请参阅选择登录策略。这些选项包括:

  • 仅显示 - 可用于所有的三个应用程序。借助该选项,用户可输入用来在每次启动应用程序时对其进行访问的 Service Desk 或 Asset Manager 用户名和密码。

升级数据库时,您需要使用登录策略设置为仅显式的 Framework 应用程序。有关升级数据库的详细信息,请参阅升级 Ivanti 数据库:

  • 仅集成 - 适用于 Framework 和 Web Access。借助该选项,Service Desk 和 Asset Manager 使用用户的网络登录来确定其 Service Desk 和 Asset Manager 用户帐户,并自动让他们登录。
  • 仅令牌 – 可用于 Framework、Web Access 和 BridgeIT。该选项使用 Ivanti Secure Token Server (STS) 为 Web Access 和 Workspaces 提供单点登录 (SSO)。STS 作为 Ivanti Service Desk Server 或 Asset Manager 安装选项的一部分进行安装。
    通过单点登录,用户只需登录一次就可使用单个用户名和密码访问大量不同的应用程序。如果您使用 STS,这意味着用户可使用其 Active Directory 用户名和密码登录 Workspaces (BridgeIT) 或 Web Access – 这通常与他们用于登录网络的凭据相同。
    BridgeIT 和控制台必须都连接到具有匹配的登录策略的 Framework。因此,如果将 BridgeIT 设置为使用仅令牌,也必须将其连接到的 Framework 设置为使用仅令牌。在本实例中,因为控制台不支持仅令牌,所以必须创建连接到相同数据库的 Framework,但是它针对控制台实施使用匹配的登录策略

当选择仅令牌作为应用程序的登录策略时,需要指定以下值:
STS 版本令牌 Url – 希望使用的 STS 版本令牌的 URL(例如,https://servername/STS/IssueToken
用户名密码 – 托管 STS 的服务器的 Windows 管理员帐户凭据。

Web Access 直接连接到数据库本身,因此不需要具有与 Web Access 匹配的登录策略的 Framework。

如果还将 BridgeIT 连接到 Ivanti Endpoint Manager,则必须具有登录策略被设置为仅令牌Identity Server 的 Framework。

如果您的 BridgeIT 应用程序将登录策略设置为仅显式,则用户使用其 Service Desk 或 Asset Manager 凭据登录;如果设置为仅令牌,则用户使用其网络凭据登录。

  • 仅口令 – 可用于 Framework、Web Access 和 BridgeIT。
    BridgeIT 必须连接到具有匹配的登录策略的 Framework。因此,如果将 BridgeIT 设置为使用仅口令,也必须将其连接到的 Framework 设置为使用仅口令。在本实例中,因为控制台不支持仅口令,所以必须创建连接到相同数据库的 Framework,但是它针对控制台实施使用匹配的登录策略
    在配置 Service Desk 或 Asset Manager 以使用口令验证之前,您需要配置口令以传递 URL 请求中发送至 Service Desk 或 Asset Manager 的用户身份。您需要进行该配置,以便将用户 ID 作为 URL 中的标头进行传送,格式为:
    ?http_landesk_user=userid

登录策略设置为仅 Shibboleth 后,SAML 身份验证提供程序(例如 Shibboleth)将负责确保对 Service Desk 和 Asset Manager 的安全访问。

有关配置 Shibboleth 的信息,请参阅其随附的文档以及配置口令身份验证

  • Identity Server – 一种登录授权服务,提供可用于内部系统的 Framework、Web Access 和 BridgeIT 的显式和令牌登录策略。对于此选项,需要创建 Identity Server Web 应用程序 - 有关详细信息,请参阅创建 Web 应用程序

对于仅集成仅令牌仅口令以及 Identity Server,需要使用控制台中的管理组件将 Service Desk 和 Asset Manager 用户与网络登录相关联。

有关用户管理的详细信息,请参阅用户管理

要将 Service Desk 或 Asset Manager 用户与网络登录相关联:

  1. 在控制台的管理组件中,展开用户管理树。
    用户管理
  2. 展开用户分支,然后选择所需的用户。
  3. 操作列表上,单击添加网络登录
    出现“网络登录”对话框。
  4. 输入用户的网络登录(格式为 domain\username),然后单击确定
    网络登录会出现在用户的“网络登录”文件夹中。

可考虑通过连接至相同的数据库以在相同实例中创建另一个 Web Access 和 BridgeIT 应用程序,但是将登录策略设置为仅显式。这可让没有网络登录但是有 Service Desk 或 Asset Manager 帐户的用户使用不同的 Web 地址来访问您的 Service Desk 或 Asset Manager 系统。