多個安全網域

安全網域的用處

WebSphere Security Domains 提供兩個主要好處:

在舊版 WebSphere Application Server中，所有管理和使用者應用程式都會共用大部分安全屬性。 依預設， WebSphere Application Server 中的所有管理和使用者應用程式都使用廣域安全屬性。 例如，廣域安全所定義的使用者登錄用來針對 Cell 內的每個應用程式鑑別使用者。

不過，在這個 WebSphere Application Server版本中，您可以對廣域安全屬性以外的使用者應用程式使用多個安全屬性，為那些必須不同的安全屬性建立安全網域，並將它們與管理那些使用者應用程式的伺服器和叢集相關聯。 另外，您也可以將安全網域關聯於 Cell。 如果 Cell 內的使用者應用程式先前沒有相關聯的網域，則會使用這個安全網域。 不過，各種管理應用程式，例如管理主控台、命名資源和 MBean 等，仍需要廣域安全屬性。

如果您已在舊版 WebSphere Application Server中使用伺服器層次安全，則現在應該使用多個安全網域，因為它們更靈活且更容易配置。

在這個版本中，伺服器層次安全已淘汰。 如需相關資訊，請閱讀 廣域安全與安全網域之間的關係 。

廣域安全與安全網域之間的關係

「廣域安全」適用於所有管理功能，以及使用者應用程式的預設安全配置。 安全網域可用來定義自訂的使用者應用程式配置。

您必須先定義好廣域安全配置，才能建立安全網域。 所有管理應用程式，例如管理主控台、命名資源和 MBean 等，都會用到廣域安全配置。 如果未配置任何安全網域，所有應用程式都會使用廣域安全配置中的資訊。 Enterprise JavaBeans (EJB)、Servlet 及管理應用程式等使用者應用程式使用相同的安全配置。

當您建立安全網域，且將它關聯於某個範圍時，只有這個範圍的使用者應用程式會使用這個安全網域中所定義的安全屬性。 管理應用程式及這個範圍內的命名作業會使用廣域安全配置。 請在網域層次上，定義必須不同於廣域層次的安全屬性。 如果資訊是共用的，就不需要在安全網域中複製資訊。 網域遺漏的任何屬性，都會從廣域配置中取得。 廣域安全配置資料儲存在 $WAS_HOME/profiles/$ProfileName/cells/$CellName 目錄的 security.xml 檔中。

下圖提供 Cell、伺服器和叢集關聯於不同安全網域的安全多重網域範例。 如圖所示，S1.1 伺服器中的使用者應用程式以及叢集分別使用 Domain2 和 Domain3 中所定義的安全屬性（因為這些範圍關聯於這些網域）。 S2.2 伺服器沒有相關聯的網域。 因此，依預設，S2.2 中的使用者應用程式會使用與 Cell 相關聯的網域 (Domain1)。 網域層次遺漏的安全屬性，會從廣域配置中取得。

下圖顯示廣域安全配置所能定義及網域層次所能置換的各種高階安全屬性。

安全網域的內容

安全網域由兩個配置檔來代表。 一個配置檔包含安全網域中所配置的屬性清單。 另一個配置檔包含使用安全網域的範圍。 安全網域資訊儲存在 $WAS_HOME/profiles/$ProfileName/config/waspolicies/default/securitydomains/$SecurityDomainName 目錄中。 所配置的每個安全網域都會建立一個 $SecurityDomainName 目錄，其中含有兩個檔案：security-domain.xml 檔，包含安全網域所配置的安全屬性清單，以及 security-domain-map.xml 檔，包含使用安全網域的範圍。

下圖指出主要安全網域相關檔案的位置，以及這些檔案的內容。

建立安全網域

請利用管理主控台作業或 Scripting 指令來建立安全網域。 在管理主控台中，按一下 安全 > 安全網域來存取安全網域。 每個管理主控台畫面都有說明。

如需完整的管理主控台作業及 Scripting 指令清單，請參閱這份文件結尾「相關作業」中的鏈結。

當建立安全網域時，您必須提供網域的唯一名稱、安全網域所要配置的安全屬性，以及使用安全網域所需要的範圍。 配置好之後，使用安全網域的伺服器必須重新啟動。 之後，這些範圍中的使用者應用程式會使用安全網域中所定義的屬性。 網域層次所未配置的任何屬性，都會從廣域安全配置中取得。 範圍中的管理應用程式和命名作業一律使用廣域安全配置中的安全屬性。 您必須主動管理這些屬性。

任何新的安全網域屬性都必須相容於指派給網域的使用者應用程式所繼承的廣域安全屬性。

除了 JAAS 和自訂內容，網域的廣域屬性自訂好之後，使用者應用程式就不再使用這些屬性。

管理主控台中的安全網域畫面可讓您指派資源，以及為您的網域選取適當的安全屬性。 畫面會顯示廣域配置的主要安全屬性；必要的話，您可以決定在網域層次置換這些屬性。 在網域層次配置及儲存好屬性之後，畫面上的摘要值會顯示網域的自訂值（以黑色文字標籤的「自訂」一詞）。

範圍（伺服器、叢集、服務整合匯流排或 Cell）只能關聯於單一網域。 例如，您無法定義兩個網域，讓它們同時擁有 Cell 層面的範圍。 不過，在相同的安全網域中，可以定義多重範圍。 例如，只有在 Cell 內，才能將網域的範圍設為 Server1 和 Server2。

安全網域畫面上指派的範圍區段會顯示兩個視圖：一個視圖供您選取及指派網域的範圍，另一個視圖供您查看 目前所指派的範圍清單。 為了方便，您也可以將現有安全網域或廣域配置中的所有安全屬性，靈活複製到新的安全網域中，然後修改必須有所不同的屬性。 您仍需要將範圍關聯於這些複製的網域。

另外，Scripting 指令也提供了建立、複製和修改安全網域的功能。 建立網域之後，您必須執行適當的指令來建立它與安全屬性和範圍的關聯性。

配置安全網域的屬性

在 WebSphere Application Server 9.0 中，可以在網域層次配置的安全屬性如下:

管理主控台中的安全網域畫面會顯示所有這些安全屬性。

您在網域層次無法置換的其他已知屬性有 Kerberos、審核、Web 單一登入 (SSO) 及 Tivoli ® Access Manager (TAM)。 Secure Socket Layer (SSL) 屬性已支援不同的範圍，但它不是網域配置的一部分。 對於網域層次所不支援的所有屬性而言，網域中的使用者應用程式會共用它們來自廣域層次的配置。

任何新的安全網域屬性都必須相容於指派給網域的使用者應用程式所繼承的廣域安全屬性。 您必須主動管理這些屬性。 比方說，如果您只在網域層次上自訂一項 JAAS 配置，您必須確定它會使用廣域層次所配置的使用者登錄（如果網域層次未自訂使用者登錄）。

除了 JAAS 和自訂內容，網域的廣域屬性自訂好之後，使用者應用程式就不再使用這些屬性。

Tivoli Access Manager 用戶端執行時期是用來聯絡 TAM 伺服器，以提供鑑別 (由 TrustAssociationInterceptor 和 PDLoginModule使用) 和授權 (用於 JACC)。 Cell 中的所有伺服器只會共用一個 Tivoli Access Manager 執行時期。 如需相關資訊，請閱讀 Tivoli Access Manager JACC 提供者配置主題。

您不能在安全網域層次有不同的 Tivoli Access Manager 配置，來置換 Cell 層次的配置。 然而，您可以在安全網域層次中，指定某種程度的「信任關聯攔截程式 (TAI)」和 JACC 配置。 比方說，您可以使用不同的 TAI 或不同的授權提供者。 由於 TAM 伺服器連線功能只能在廣域層次中定義，您可以在安全網域層次中定義和配置多種 TAI。 部分 TAI 可能不會使用 TAM 使用者儲存庫，但其他的 TAI 則會。 不需要連接到 TAM 的 TAI 也會連接到在廣域環境中定義的 TAM 伺服器。 同樣地，在授權時，您可以在網域層次中配置各種外部授權提供者。 然而，如果有任何外部授權提供者，需要連線到 TAM，它們會聯絡在單一廣域環境中所配置的 TAM 伺服器。

建立範圍與安全網域的關聯性

當安全網域關聯於不屬於任何叢集的伺服器時，這部伺服器的所有使用者應用程式都會使用安全網域的屬性。 任何遺漏的安全屬性，都會從廣域安全配置中取得。 如果伺服器是某叢集的一部分，您可以將安全網域關聯於這個叢集，但並不關聯於該叢集中的個別成員。 之後，在所有叢集成員之間，就會維持一致的安全行為。

如果伺服器要成為叢集的一部分，請先建立一個叢集，然後建立它與安全網域的關聯性。 您有可能在伺服器成為叢集成員之前，就建立了它與某個網域的關聯性。 若是如此，即使網域直接關聯於伺服器，安全執行時期程式碼也不會查看網域。 當伺服器是叢集成員時，安全執行時期並不處理直接關聯於伺服器的任何安全網域。 請從安全網域中移除伺服器範圍，另外建立它與叢集範圍的關聯性。

安全網域也可以關聯於 Cell。 當您想要將 WebSphere Application Server 中的所有使用者應用程式與安全網域相關聯時，通常會這樣做。 在這個實務中，所有管理應用程式和命名作業都使用廣域安全配置，而所有使用者應用程式都使用網域層次配置。 如果您想要分割管理及使用者應用程式的安全配置資訊，這就是您需要的全部作業。

如果您有混合版本環境，或計劃未來有混合版本環境，且您想要在 Cell 層次關聯安全網域，請閱讀 混合版本環境中的安全網域 ，以取得相關資訊。

如果您是在已定義自己安全網域的基本設定檔伺服器中，而這部伺服器又聯合到部署管理程式，請將伺服器範圍關聯於安全網域，而不是 Cell 範圍。 當您聯合節點時，安全網域資訊會傳送到部署管理程式。 如果 Cell 範圍與它相關聯，網路部署配置會使用這個安全配置，這可能會影響到現有的應用程式。 在聯合期間，Cell 範圍會變更為所聯合的伺服器範圍。 如果將伺服器範圍關聯於安全網域，在聯合之後，只有這部伺服器會使用安全網域。 其他伺服器和叢集中的其他應用程式不受影響。 不過，如果這個基本設定檔伺服器登錄於「管理代理程式」程序，且您想要基本設定檔中所有伺服器的所有使用者應用程式都使用相同的安全網域，您可以將 Cell 範圍關聯於安全網域。 如需相關資訊，請閱讀 聯合具有安全網域的節點 。

您可以在 Cell 層次上建立某個安全網域的關聯性，同時將其他安全網域關聯於各個叢集或個別伺服器（不屬於任何叢集的伺服器）。 在這個情況下，安全執行時期會先檢查是否有任何安全網域關聯於這部伺服器或某個叢集。 如果有安全網域關聯於這部伺服器或某個叢集，這部伺服器或叢集中的所有應用程式都會使用其中所定義的安全屬性。 這部伺服器或叢集網域遺漏的任何安全屬性，都會從廣域安全配置中取得，而不是從與 Cell 相關聯的網域配置中取得。

如果伺服器或叢集未定義自己的網域，安全執行時期程式碼會使用與 Cell 相關聯之網域中的安全屬性（如果定義了這樣的網域）。 Cell 網域所遺漏的任何安全屬性，都會從廣域安全配置繼承而來。

舊伺服器層次安全和新安全網域之間的關係

在舊版 WebSphere Application Server中，您可以在伺服器層次建立一組安全屬性的關聯。 在伺服器層次上，所有應用程式都使用這些屬性。 先前配置安全屬性的方式在 WebSphere Application Server 7.0中已淘汰，並將在未來版本中移除。

現在，您應該從 WebSphere Application Server 7.0開始使用新的安全網域支援，因為這些安全網域更容易管理，更靈活。 例如，在舊版 WebSphere Application Server中，您必須為叢集中的每一部伺服器配置相同的安全屬性，以手動將相同的安全配置關聯於所有叢集成員。

當 Script 相容性模式是 false (-scriptCompatibility="false") 時，移轉工具會將現有的伺服器層次安全配置資訊移轉到新的安全網域配置。 如果伺服器不屬於任何叢集，就會針對各伺服器安全配置分別建立新的安全網域。 如果是叢集的一部分，就會將安全網域關聯於叢集，而不是這個叢集中的所有伺服器。 在這兩種情況中，舊版伺服器層次所配置的所有安全屬性，都會移轉到新的安全網域配置，且會將適當的範圍指派給安全網域。

如果 Script 相容性模式設為 true，伺服器層次安全配置就不會移轉到新的安全網域配置。 舊的伺服器安全配置在移轉時，不會進行任何變更。 安全執行時期會偵測出存在舊的安全配置，且會使用這個資訊，即使伺服器直接或間接關聯於某個安全網域也是如此。 如果 Script 相容性模式設為 true，請從伺服器層次移除安全配置，然後以同一組安全屬性來建立一個安全網域。

安全執行時期和應用程式如何使用網域層次安全屬性

這一節說明安全執行時期如何使用網域層次的個別屬性，以及使用者應用程式安全所受到的影響。 由於在廣域層次也定義了所有這些安全屬性，因此也可以在它處取得這些屬性的詳細資訊。 根據這一節的目的，重點在於網域層次行為。

使用安全網域時的用戶端和應用程式安全程式設計模型

Java 用戶端或作為存取 EJB 之用戶端的應用程式通常會先執行命名查閱。 管理及使用者應用程式兩者所用的命名資源視為管理資源。 它受到廣域安全配置資訊的保護。 在廣域安全使用一個網域範圍 (使用者登錄) 且網域使用不同網域範圍的多重網域設定中， Java 用戶端必須向兩個不同的網域範圍進行鑑別。 廣域安全配置中的網域範圍需要第一個鑑別，命名作業才能成功，存取使用不同網域範圍的 EJB，則需要第二個鑑別。

CosNamingRead 角色會保護所有命名讀取作業。 通常會將 Everyone 特殊主體指派給這個角色。 這隱含了任何使用者，不論是否有效，都能夠查閱名稱空間。 當定義多重網域時，如果 CosNamingRead 角色有 Everyone 特殊主體，用戶端的安全執行時期程式碼不會發出登入提示。 它會改用 UNAUTHENTICATED 主體來存取命名作業。 命名查閱作業完成之後，當用戶端嘗試存取 EJB 時，會出現登入提示畫面來指出 EJB 應用程式目前所用的網域範圍（也就是網域中使用的網域範圍）。 之後，用戶端就呈現適用於這個網域範圍的使用者認證，以便存取 EJB。 這個邏輯適用於登入來源的所有變異，其中包括 properties 和 stdin，而不只是將登入來源設為 prompt 時。

如果從 CosNamingRead 角色中移除 Everyone 特殊主體，就會向您發出兩次提示。 如果登入來源是 properties，您可以解除註解 $WAS_HOME/profiles/$ProfileName/properties/sas.client.props 檔中的 com.ibm.CORBA.loginRealm 內容，並使用 "|" 作為分隔字元來新增適當的網域範圍。 另外，您也必須分別在 com.ibm.CORBA.loginUserid 和 com.ibm.CORBA.loginPassword 內容中輸入對應的使用者和密碼。 當您在 Java 用戶端程式碼中使用程式化登入時，您必須使用不同的使用者認證來鑑別兩次; 在執行 EJB 的命名查閱之前 (使用者應該在廣域範圍中) ，以及稍後在呼叫 EJB 中的任何方法之前 (使用者應該在 EJB 網域的網域範圍中)。

不會參照 z/OS 安全伺服器中定義的 CosNaming「讀取」角色，以判斷在多重安全網域環境中是否保護命名讀取作業，即使已啟用 SAF 授權也一樣。 相反地，這時會使用 admin-authz.xml 檔中的設定。 另外，您也可以利用自訂內容 com.ibm.security.multiDomain.setNamingReadUnprotected 來控制命名讀取作業是否受到保護。 這個內容會置換對於 CosNamingRead 角色的任何指派，不論使用哪個授權提供者都是如此。

一般而言，當 Java 用戶端需要向多個不同網域範圍進行鑑別時，它必須提供所有這些網域範圍的認證資訊。 如果登入來源是 prompt 或 stdin，就會重複出現登入提示，每個網域範圍一次。 如果登入來源設為 properties，就會利用 sas.client.props 檔（或任何相關檔案）中適當的內容來接受不同網域範圍的鑑別。

在特定實務中，用戶端可能會重複呼叫相同的網域範圍。 例如， Java 用戶端可以使用 realm1 來存取資源，接著使用 realm2來存取資源，然後再回來存取 realm1 中的資源。 在這個情況下，會提示用戶端三次；第一次針對 realm1，第二次針對 realm2，最後一次又針對 realm1。

依預設，用戶端程式碼並不會快取用來登入網域範圍的主體。 如果您有這個實務，且您想要用戶端根據領域來快取主體，請在 sas.client.props 檔中，將 com.ibm.CSI.isRealmSubjectLookupEnabled 內容設為 true 。 如果設定了 com.ibm.CSI.isRealmSubjectLookupEnabled 內容，用戶端程式碼會根據網域範圍名稱來快取主體。 下次 Java 用戶端需要向這個領域進行鑑別時，會找到快取來取得主體，且不會提示用戶端。 同時，在設定 com.ibm.CSI.isRealmSubjectLookupEnabled 內容時，後續登入會使用第一次登入的相同主體。 如果主體資訊需要變更，就不應設定這個內容。

如果用戶端進行程式化登入，它會連同鑑別所需要的使用者和密碼來傳遞網域範圍。 在此情況下，當 sas.client.props 檔中的 com.ibm.CORBA.validateBasicAuth 內容設為 true (預設值) 時，登入時會使用符合網域範圍名稱的登錄。 在進行鑑別的程序中，必須支援這個網域範圍。

當使用 WSLogin JAAS 配置時，您也必須在 $WAS_HOME/profiles/$ProfileName/properties 的 wsjaas_client.config 檔中設定 use_realm_callback 選項，以便將網域範圍名稱傳遞給回呼處理常式。 如果您想要對名稱伺服器指定不同的提供者 URL，請設定 use_appcontext_callback 選項，並在 WSLogin 的雜湊對映中傳入提供者 URL 內容。

If you do not know the realm name, use <default> as the realm name. 這時會針對應用程式網域範圍來執行鑑別。 如果命名讀取作業未指派 Everyone 特殊主體，您必須提供管理應用程式所用的網域範圍（廣域安全配置所用的登錄），以及這個登錄中適當的使用者和密碼資訊，查閱作業才能順利完成。

After the lookup operation succeeds, perform another programmatic login by providing the application realm (or <default>) and the user and password information for the appropriate user in the registry that is used by the application. 這類似於登入來源為 prompt 的情況。 您必須鑑別兩次，第一次是針對廣域安全配置所用的登錄（命名查閱作業），第二次是針對應用程式用來存取 EJB 的登錄。

If com.ibm.CORBA.validateBasicAuth is set to 假 in the $WAS_HOME/profiles/$ProfileName/properties/sas.client.props file then the programmatic login can use <default> as the realm name for both the lookup and the EJB operations. 只有在伺服器端存取資源時，才會進行實際的鑑別，這時會根據所存取的資源來計算網域範圍。

從 WebSphere Application 7.0 版開始，新的安全網域支援不會變更現行應用程式安全程式設計模型。 不過，它提供了更大的彈性、更多的功能，如下：

多重網域配置中的應用程式部署

當您將應用程式部署在多重網域設定中，應用程式中的所有模組都應該安裝在屬於相同安全網域的伺服器或叢集中。 否則，根據這些安全網域所配置的安全屬性而定，可能會產生不一致的結果。 比方說，如果網域包含不同的使用者登錄，使用者和群組資訊有可能不同，當存取模組時，可能會造成不一致的行為。 另一個例子是安全網域之間的 JAAS 資料不同。 在應用程式中，並非所有模組都能夠存取這些 JAAS 配置。 當處理使用者登錄、JAAS 登入配置、J2C 鑑別資料和授權之類的屬性時，安全執行時期程式碼和指令作業會依賴一個關聯於應用程式的網域。

在大部分情況下，當跨越不同的網域來部署應用程式時，應用程式部署會失敗。 不過，由於在舊版 WebSphere Application Server 中可能如此，當伺服器層次只支援少數屬性時，部署工具會先檢查網域中所配置的屬性。 如果網域中的屬性與舊版所支援的屬性相同，管理主控台會要求確認，以確定您想要跨越多個安全網域來部署應用程式模組。 除非有跨越不同網域來部署應用程式的絕對需求，否則，請停止部署，然後選取相同安全網域中的伺服器和叢集。

跨網域範圍通訊

當應用程式利用 RMI/IIOP 通訊協定來通訊，且鑑別機制是 LTPA 時，會在涉及的伺服器之間傳遞 LTPA 記號。 LTPA 記號包含登入前端應用程式之使用者的網域範圍限定 uniqueId（也稱為 accessId）。 當下游伺服器收到這個記號時，它會嘗試將記號解密。 如果兩部伺服器共用 LTPA 金鑰，則解密成功，並從記號中取得使用者的 accessId。 accessId 中的網域範圍會以應用程式所用的現行網域範圍來進行檢查。 如果網域範圍相符，則 LTPA 記號驗證成功，並繼續進行授權。 如果網域範圍不符，記號驗證會失敗，因為在應用程式的現行網域範圍中，無法驗證外部網域範圍的使用者。 如果使用 RMI/IIOP 和 LTPA 鑑別機制時，並不假設應用程式之間互相通訊，您不需要進一步執行任何動作。

如果您想在使用 RMI/IIOP 和 LTPA 記號時，順利完成跨網域範圍的通訊，您必須先建立所涉及的網域範圍之間的信任關係，以便進行入埠和出埠通訊。

對於發出要求的伺服器，它的網域範圍必須有其能信任的網域範圍，以便將記號送往這些網域範圍。 這稱為 outboundTrustedRealms。 對於接收要求的伺服器，它的網域範圍必須信任它能從其中接收 LTPA 記號的網域範圍。 這稱為 inboundTrustedRealms。

您可以使用 addTrustedRealms 指令並將-communicationType 選項設為 outbound，來建立出埠授信網域範圍。 您也可以在管理主控台中，按一下 CSIv2 outbound communications 畫面中的 Trusted authentication realms - outbound 來建立它。

您可以使用相同的 addTrustedRealms 指令作業，並將-communicationType 選項設為 inbound，來建立入埠授信網域範圍。 您也可以利用管理主控台來建立它。

本節後面的圖例顯示在使用不同使用者網域範圍（登錄）的應用程式之間，利用 RMI/IIOP 來進行通訊。 在這個範例中，app1 應用程式（例如，servlet）是配置成使用 realm1 使用者登錄。 app2 應用程式（如 EJB）配置成使用 realm2 使用者登錄。 使用者 (user1) 最初登入 app1 中的 Servlet，之後又嘗試存取 app2 中的 EJB。 這時必須設定如下：

當 app2 收到 LTPA 記號，而其中包含 user1 的 accessId 時，它會將記號解密。 兩個伺服器共用相同的 LTPA 金鑰。 之後，LTPA 記號會確保外部網域範圍是一個授信網域範圍，且會根據 user1 的 accessId 來執行授權。 如果未停用傳送安全屬性，user1 的群組資訊也會傳送到 app2。 如果權限表包含群組資訊，授權檢查就能夠使用這些群組。 您可以將特殊主體 AllAuthenticatedInTrustedRealms 關聯至角色，而不是將個別使用者和群組新增至權限表中。

如果上述範例中的應用程式是部署在不同 Cell 中，您必須執行下列動作：

建立好網域範圍之間的信任關係之後，當伺服器收到 LTPA 記號，在記號解密之後，它會檢查外部網域範圍是否在它的入埠授信網域範圍清單中。 如果已授信，就表示鑑別成功。 不過，由於是一個外部網域範圍，它並不會搜尋使用者登錄來收集使用者的相關資訊。 凡是在 LTPA 記號中的資訊，都會用來進行使用者授權。

使用者唯一 ID 是 LTPA 記號中僅有的資訊。 這個使用者唯一 ID 應該在這個應用程式的權限表中。 如果存在，授權就會成功。 不過，如果啟用了屬性傳送，就會從原始伺服器中，將使用者的其他授權屬性（這個使用者所屬的群組）傳送到接收端伺服器。 這些其他屬性用來進行存取決策。 如果群組資訊存在於傳送記號中，則在進行授權決策時，會用到這個資訊。

如先前所提及，授信網域範圍中使用者和/或群組的相關資訊，應該存在於接收端應用程式的權限表中。 具體地說，使用者和/或群組的 accessId 應該存在於應用程式的連結檔中。 當部署應用程式時，必須如此。 在管理主控台中，當應用程式部署在某個網域中，您可以將任何授信網域範圍中的使用者和群組的 accessId 新增到權限表中。

您也可以選擇將特殊主體 AllAuthenticatedInTrustedRealms 關聯至各個角色，而不是新增個別使用者和群組。 這類似於目前所支援的 AllAuthenticated 特殊主體。 不同之處在於，AllAuthenticated 特殊主體會參照與應用程式相同網域範圍內的使用者，而 AllAuthenticatedInTrustedRealms 特殊主體則適用於授信網域範圍及應用程式網域範圍中的所有使用者。

您可以利用 $AdminApp install Script 來建立 accessId 的關聯性。 由於 accessId 採用唯一格式，請使用指令作業 listRegistryUsers，並將 displayAccessIds 設為 true。 如果在這個欄位中輸入無效的名稱或格式，授權會失敗。

授信網域範圍中的使用者和群組資訊取自部署管理程式，因為它可以存取所有網域內的所有使用者登錄配置。 不過，在特定狀況下，不可能取得使用者和群組資訊。

比方說，如果外部節點所管理的伺服器利用 localOS 作為其網域的登錄，部署管理程式就無法取得使用者和群組資訊，除非它在相同的作業系統設定中執行。 如果要取得這項資訊，應該要聯絡外部作業系統。 直接呼叫與這個網域相關聯之伺服器中的登錄，可以完成這項作業。 必須啟動與網域相關聯的伺服器，這項作業才能運作。 您也必須在最上層安全自訂內容中，將 com.ibm.websphere.allowRegistryLookupOnProcess 設為 true。 當設定這個內容時，部署管理程式碼會搜尋安全網域其中一個相關聯伺服器，並直接從其中取得使用者和群組資訊。 呼叫其中一部伺服器中的 MBean，就可能完成這項作業。

如果無法存取使用這個網域任何伺服器之中的 MBean，管理主控台會顯示一個畫面，供您手動輸入每個使用者和群組的使用者和 accessId 資訊。 在這個欄位中，務必輸入正確的 accessId 格式，這一點非常重要。 使用者的 accessId 格式是 user:realmName/userUniqueId。 realmName 是使用者所在網域範圍的名稱，userUniqueId 是代表使用者的 uniqueId，這會隨著所用的登錄而不同。

例如，對於 LDAP ， uniqueUserID 是識別名稱 (DN) ，對於 Windows™ localOS 登錄是使用者的 SID。 如果是 Unix 平台，就是 UID。 如果是自訂登錄，就會隨著實作而不同。

同樣地，如果是群組，accessId 格式就是 group:realmName/groupUniqueId。 如先前所述，請使用 listRegistry使用者和 listRegistry群組指令，並將-displayAccessIds 選項設為 true ，以便您可以取得您感興趣的網域或網域範圍的正確格式。

將授信網域範圍或 AllAuthenticatedInTrustedRealms 特殊主體中的使用者和群組新增到應用程式的權限表之後，只要其他應用程式使用它的任何授信網域範圍，就已準備好接受來自這些應用程式的要求。 接收端伺服器的 LTPA 記號驗證會先進行檢查，確認網域範圍已經授信。 之後，授權引擎會檢查外部使用者及（或）群組或 AllAuthenticatedInTrustedRealms 特殊主體是否取得存取資源所需要的角色存取權。 如果是 true，就會授與存取權。

只有在使用 WebSphere 內建授權時，跨領域通訊才適用。 如果您使用其他授權引擎 (包括 SAF for z/OS) ，您可以實作自訂登入模組來將外部使用者對映至其專屬儲存庫中的使用者，以達成任何跨領域授權。

聯合節點與安全網域

當安全網域配置於基礎版本且聯合到 Cell 中，Cell 中的這部伺服器也會配置基礎版本所配置的安全網域。 在聯合之前及之後，伺服器可以使用相同的網域安全配置。 如果將基礎伺服器聯合到 Cell，指派給安全網域的資源應該是伺服器範圍，而不是 Cell 範圍。

如果預期在「管理代理程式」程序中登錄基礎伺服器，且有意讓基礎設定檔內的所有伺服器使用這個安全網域，請利用 Cell 範圍作為資源。

如果在聯合期間，Cell 層次已有基礎的安全網域，addNode 指令就會失敗。 您可以使用-excludesecuritydomains 選項，在聯合期間不包括安全網域。

當從 Cell 中移除聯合的節點時，應該從安全網域中移除這個節點中的資源。 如果安全網域有相關聯的叢集含括多個節點，不會移除這些節點。 您可以一律使用 Scripting 指令或管理主控台，從安全網域或任何未用的網域中移除資源。

混合版本環境中的安全網域

所有節點都移轉到最新的版本之後，您應該建立安全網域。 當 Cell 必須與網域相關聯時，尤其如此。 不過，如果您要在混合版本的環境中建立安全網域，注意事項如下：

修改安全網域

請利用管理主控台作業或 Scripting 指令來修改安全網域。 如需完整的管理作業及 Scripting 指令清單，請參閱這份文件結尾「相關作業」中的鏈結。

建立好安全網域，且將它關聯於一組範圍之後，必須重新啟動這個新網域的相關伺服器。 重新啟動之後，與新網域相關聯範圍中的應用程式就會使用這個網域中所定義的安全屬性。

變更任何網域屬性，都需要重新啟動所有指派給它的範圍。 如果增加了新範圍，它們也需要重新啟動。 網域配置的任何修改，不論是安全屬性或範圍，都會影響到正在使用這個網域配置的應用程式。

在修改現有的網域之前，請考量下列潛在的影響。 比方說，如果移除某網域所配置的使用者登錄，然後重新啟動伺服器，就會使用 Cell 層面網域（如果定義了 Cell 層面網域）的使用者登錄，或使用廣域安全配置。 這可能會影響應用程式的鑑別和授權。 在新登錄中，與應用程式相關聯的使用者和群組可能不再有效。 從網域中移除 JAAS 配置，是另一個要考量的範例。 相依的應用程式就無法再使用 JAAS 配置。 每當安全配置有了改變，您的應用程式也可能會受到影響，因此，所有安全配置變更都應該非常小心。

混合版本環境所需的容錯 PTF

對於舊版 WebSphere Application Server for z/OS IIOP 用戶端與管理多個安全網域的 WebSphere Application Server 9.0 for z/OS 應用程式伺服器交互運作的混合版本環境，需要容錯 PTF。

9.0 之前的 IIOP 用戶端需要更新其 IIOP 尋找處理碼，才能在 9.0 應用程式伺服器的安全網域之間執行 IIOP 尋找。

本節後面列出所有受影響之服務版本的容錯 PTF。 9.0 之前的 IIOP 用戶端必須等於或高於給定的服務層次，才能順利與包含多個安全網域的 9.0 應用程式伺服器交互作業。

此需求僅適用於 WebSphere for z/OS IIOP 用戶端，這些用戶端會對已配置並啟用多個安全網域的 WebSphere for z/OS 應用程式伺服器呼叫要求。