問題タブ [identity-management]

OIMのすべての環境にデプロイされているすべてのプラグインを確認する必要があります。同じことを確認するために MDS エクスポートを実行できます。

しかし、同じことを行うには、より迅速な解決策が必要です。

同じことを確認するSQLクエリはありますか?

まず第一に、Keyrock、AuthZForce、および Wilma PEP Proxy である Fiware リファレンス実装の代わりに、Identity Manager、Authorization PDP、および PEP Proxy の Telefonica 実装を使用しています。各コンポーネントのソース コードとリファレンス ドキュメントは、次の GitHub リポジトリにあります。

• Telefonica keystone-spassword:

GitHub /telefonicaid/fiware-keystone-spassword

• Telefonica キーパス:

GitHub /telefonicaid/fiware-keypass

• Telefonica PEP プロキシ:

GitHub /telefonicaid/fiware-pep-steelskin

その上、私は独自のコンポーネントの社内インストールで作業しています。Fi-Lab ではありません。セキュリティ コンポーネントに加えて、IoT Agent-UL インスタンスと Orion Context Broker インスタンスがあります。

その構成から始めて、keystone (Fiware-Service) にドメインを作成し、ドメイン内にプロジェクト (Fiware-ServicePath) を作成しました。次に、1 つのデバイスをプラットフォームに接続し、PEP プロキシの背後にある IoT Agent にデータを送信します。Orion Context Broker では、デバイス メッセージ全体が単一のエンティティとして表されます。

したがって、質問は次のとおりです。

Orion Context Broker API のレベルで、特定の keystone ユーザーがこのデバイスに関連付けられたエンティティのみにアクセスするように制限するにはどうすればよいですか?

keystone ロールと XACML ポリシーを介して特定の API へのユーザー アクセスを許可/拒否できることはわかっていますが、これは、ユーザーとデバイスのペアごとに 1 つのポリシーを作成する必要があることを意味します。

私が正しい道を進んでいるかどうかを知るために、これについていくつかの助けを借りることができます。

環境

ISPIM アプライアンスで、アプライアンスが稼働中で、3 つのデータベースすべてとそのサーバーが idb/esso/psr である場合、「pim manager」を使用してコンソールにログインできません。

質問

パーミッションを付与するには、db2admin にどの特権を付与する必要がありますか?

私は試した

db2admin を使用してアクセス許可を付与しますが、エラー メッセージが表示されます。

SQL0552N "DB2"

キークロークで、ユーザーごとおよびクライアントごとに時間制限のあるアクセスを構成する必要があります。たとえば、ユーザー a は、2017 年 11 月 6 日から 2018 年 11 月 6 日まで、合流点にアクセスできる必要があります。

キークローク管理コンソールで時間ベースのポリシーを構成し、組み込みの評価ページで条件を正常にチェックしました。

クライアント >> Confluence >> 承認 >> ポリシー

しかし、キークロークはユーザーのログイン中にポリシーを評価しませんでした。

私たちの最初の仮定は、ユーザー認証中にキークロークがこれらのポリシーを評価する必要があるということでしたが、構成したポリシーはいずれもユーザー認証に影響を与えませんでした (ユーザーはキークロークのポリシー構成とは無関係にログインできます)。クライアント (Confluence など) がクライアント ポリシーを評価する必要があると想定しました。私たちの仮定は正しいですか？

ユーザー認証中に評価されるキークロークでユーザーアクセスポリシーを設定する方法のヒントを教えてください。