0

OpenAM を使用して、Tomcat 6 でステージングされたテスト Web アプリケーションへの承認を構成したいと考えています。最終的な目標/ユースケースは次のようになります。

  • ユーザー bob はグループ employee に属しています

  • ユーザー john はグループ マネージャーに属しています

  • 従業員とマネージャーのみが employee.jsp ページにアクセスできます

  • マネージャのみが manager.jsp ページにアクセスできます

認証部分に関するドキュメントがたくさんあり、私の環境で適切に構成されています。ログインする前に、「パブリック」ページにアクセスできます (構成した URI を強制しません)。しかし、「employee.jsp」などの保護されたページにアクセスしようとするとすぐに、OpenAM のログイン モジュールにリダイレクトされ、認証が必要になります。 . グループ従業員 (バッキング ユーザー ストアは Active Directory) に属するボブとして認証できますが、リダイレクト後もアクセスが拒否されます。このためのアクセスをどのように構成できますか? このリソースを保護するためにデプロイされるポリシー エージェントは j2ee_agent です。Web エージェントの方が関連性が高いようですが、Tomcat には j2ee エージェントがデプロイされていることがわかりました。何かご意見は?

ありがとう。

環境:

  • ADを使用して、Windows 2008サーバー上でステージングされたtomcat 6にデプロイされたwebapp
  • サーバーに集中化された構成で同じTomcat 6インスタンスにデプロイされたj2eeポリシーエージェント
  • Windows 2008 Server AD をユーザー ストアとして使用して、jboss 7 内にデプロイされた別の Linux ボックス上の openam サーバー。
4

1 に答える 1

3

J2EE エージェントは J2EE ポリシーをサポートします。OpenAM が使用するデータ ストアでは、選択したユーザーにグループを割り当てる必要があります。

OpenAM は、その「データ ストア グループ」から抽象化し、「OpenAM グループ」を構築します。

デプロイメント コンテナ固有のデプロイメント記述子で、この「OpenAM グループ」の J2EE ロールへのマッピングを設定する必要があります。

J2EE エージェント モードは、'J2EE_POLICY' または 'ALL' である必要があります (後者は、OpenAM での URL ポリシーの構成を義務付けます)。

J2EE エージェントと共に提供されるエージェントのサンプル Web アプリケーションを調べることができます。

また、エージェントのデバッグ ログ (「メッセージ」に設定されたレベル) は、マッピングが行われたかどうか、およびどのように行われたかを示します。

于 2012-10-12T09:25:11.647 に答える