問題タブ [openam]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
openam - OpenDJ/OpenAMで「次回ログイン時にパスワード変更を強制する」を有効にすると認証に失敗する
OpenAM 9.5.4 と Open DJ 2.4.5 を使用していますが、「リセット時に強制的にパスワードを変更する」という問題が発生しています。
環境をセットアップするために行った手順は次のとおりです。
1) パスワード サービスをデフォルト レルムに追加しました。
- iplanet-am-password-reset-userValidate=uid
- iplanet-am-password-reset-searchFilter=objectclass=person
- iplanet-am-password-reset-baseDN=dc=opensso,dc-java,dc=net
- iplanet-am-password-reset-lockout-duration=0
- iplanet-am-password-reset-max-num-of-questions=5
- iplanet-am-password-reset-question=お気に入りのレストラン
- iplanet-am-password-reset-bindPasswd= * *
- iplanet-am-password-reset-failure-duration=300
- iplanet-am-password-reset-notification=com.sun.identity.password.plugins.EmailPassword
- iplanet-am-password-reset-lockout-attribute-name=inetuserstatus
- iplanet-am-password-reset-lockout-attribute-value=inactive
- iplanet-am-password-reset-lockout-warn-user=4
- iplanet-am-password-reset-bindDN=cn=openssouser,ou=opensso adminusers,dc=opensso,dc=java,dc=net
- iplanet-am-password-reset-lockout-email-address=
- iplanet-am-password-reset-user-personal-question=true RequiredValueValidator=com.sun.identity.sm.RequiredValueValidator
- iplanet-am-password-reset-force-reset=true
- iplanet-am-password-reset-failure-count=5
- iplanet-am-password-reset-failure-lockout-mode=true
- iplanet-am-password-reset-option=com.sun.identity.password.plugins.RandomPasswordGenerator
- iplanet-am-password-reset-enabled=true
2) OpenDJ でパスワード ポリシーを作成しました。
パスワード ポリシーのプロパティを構成する
3) ユーザーのグループにパスワード ポリシーを割り当てるための仮想属性を作成しました。
ユーザー定義の仮想属性のプロパティを構成します
4) ユーザーを作成しました
パスワードのリセット画面で秘密の質問に答えると、パスワードをリセットするためのメールが届きます。ただし、新しいパスワード(または古いパスワード)を使用すると、「認証エラー」が発生します
OpenDJ コントロール パネルでユーザーを確認したところ、予想どおり「pwdReset」属性が「false」から「true」に変更されました。しかし、それを「false」に戻すと、プロパティを認証しますが、パスワードを変更する必要はありません。
他の誰かがこの問題を抱えていますか?
openam - OpenAM: RESTFUL API - パスワードの暗号化/エンコード
Open AM Restful API を使用して認証を実行しています。安らかな呼び出しの形式は次のとおりです。
http://OpenAM_Host:Port/deploy_uri/identity/authenticate?username=scott&password=tiger
パスワードを暗号化/エンコード形式で送信するにはどうすればよいですか?
tomcat - アプリケーション SSO トークンを取得できません
SSO を実装するために次の手順を実行しましたが、Tomcat が開始されないようにトークン例外が発生しました。
ID リポジトリである 1 つの tomcat インスタンスのマシンに Openam サーバーをインストールしました。私のopenamサーバーは正常に動作しています。アプリケーションにアクセスするSSO用のopenamサーバーにユーザーを作成しました。
そして、同じマシン上のアプリケーションを保護するために、別の tomcat の J2EE ポリシー エージェント。しかし、そのTomcatインスタンスを起動してアプリケーションにアクセスしようとすると、次の例外に直面しています。
[AgentException スタック] com.sun.identity.agents.arch.AgentException: ApplicationSSOTokenProvider.getApplicationSSOToken(): com.sun.identity.agents.common.ApplicationSSOTokenProvider.getApplicationSSOToken(ApplicationSSOTokenProvider.java:81) でアプリケーション SSO トークンを取得できませんcom.sun.identity.agents.arch.AgentConfiguration.setAppSSOToken(AgentConfiguration.java:616) com.sun.identity.agents.arch.AgentConfiguration.bootStrapClientConfiguration(AgentConfiguration.java:722) com.sun.identity.agents. arch.AgentConfiguration.initializeConfiguration(AgentConfiguration.java:1140) at com.sun.identity.agents.arch.AgentConfiguration.(AgentConfiguration.java:1579) at com.sun.identity.agents.arch.Manager.(Manager.java: 643) com.sun.identity.agents.tomcat.v6.AmTomcatRealm.(AmTomcatRealm.java:64) で sun.reflect.NativeConstructorAccessorImpl.newInstance0(ネイティブメソッド)
そのための解決策を提案してください。FQDNが原因ですか?
single-sign-on - OpenAMのデータユーザーソースとしてOpenIDMを使用する
OpenDJの代わりにOpenIDMをOpenAMのデータストアとして使用できるかどうか教えてください。
インターネットで検索しても何も見つかりませんでした。
可能であれば、私を助けることができるドキュメントページがありますか?そうでない場合は、OpenIDMとOpenAMを使用してユーザーIDと認証を管理するためのベストプラクティスは何ですか?
single-sign-on - さまざまなSSOSAML2.0 SPで開始されるプロファイルの利点は何ですか?
したがって、SAML2.0spで開始された構成にはいくつかの異なる実装プロファイルがあることがわかります。
- POST-POST
- リダイレクト-POST
- アーティファクト-POST
- POST-アーティファクト
- リダイレクト-アーティファクト
- アーティファクト-アーティファクト
それぞれの利点は何ですか?私たちはsp主導のアプローチを実装しており、エンドユーザーの観点からは、各プロファイルのエクスペリエンスは同じように見えますが、セキュリティへの影響が懸念されます。一方はもう一方より安全ですか?
ところで...IdPとしてOpenAMを実装し、SPライブラリとしてSimpleSAMLphpを実装しています。セットアップが特定のプロファイルのみをサポートすることをご存知の場合は、それも知りたいと思います。
openam - 残りのAPIを介したOpenAMユーザーの追加が失敗します(必要なsnがありません)
/ Identity / createサービスを使用する場合、デフォルトのOpenAMスキーマにはsn属性とcn属性が必要です。リクエストでそれらを指定しているのに、バックエンドでsnが見つからないというエラーが表示されます...他の誰かがcreate Identityエンドポイントを機能させることができますか?
バッキングLDAPにはOpenDSを使用し、OpenAMにはバージョン9.5.4を使用しています。他のすべてのエンドポイント(認証、ログアウト、isValidToken、更新)は正常に機能します。
リクエスト:
例外:
OpenDSエラー:
アップデート:
LDAPv3Repoに到達するまでに、sn属性とcn属性が削除されているようです。
デバッグログには、役立つように見えるものは他にありません。
java - これは、ADFS2と統合されたJavaWebアプリのシングルサインオンに使用するのに適したライブラリ/フレームワークです。
現在、OpenAMとShibbolethを調査しています。
私たちのアプリはSpringを使用して構築されておらず、Springの使用を検討していません。
jboss7.x - JBoss EAP 6 / JBoss AS 7 用の OpenAM/OpenSSO エージェント
OpenAM/OpenSSO SSO 機能を JBoss EAP 6 または JBoss AS 7 に追加したいと考えています。つまり、JBoss に SSO Java EE エージェントをインストールする必要があります。Forgerock の OpenAM ダウンロード ページでは、以前のバージョンの JBoss のエージェントを入手できますが、新しい JBoss EAP 6 / JBoss AS 7 は (現時点では) サポートされていません。
そのようなエージェントがどこかで利用できるか、または近い将来に利用可能になるか知っていますか? そうでない場合、OpenAM で動作するように JBoss 構成を変更する方法を知っていますか?
redirect - OpenAM ログイン リダイレクト後にカスタム URL パラメータが失われる
アプリケーションの認証に OpenAM を使用しています。次の URL を使用してアプリにアクセスします。
最初のアクセスで、OpenAM エージェントは URL をキャッチし、このリダイレクト URL を使用してブラウザーを認証ページにリダイレクトします。
正しい認証の後、最終的に次の URL にリダイレクトされます。
これは、goto パラメータで参照される URL であるため、ロジックです。ただし、元のものと同じではありません。サーブレットとカスタム パラメータ (lang と user) がありません。
リダイレクト後にサーブレットとパラメーターを保持するようにエージェントを構成する方法はありますか?
saml-2.0 - IDプロバイダーシナリオ用のOpenSSO(OpenAM)のセットアップ
サービスプロバイダー(SP)として機能するように、OpenSSO(OpenAM)インスタンスが最後にセットアップされています。これまでのところ、SPで開始されたSSOシナリオでは正常に機能していますが、最近IDPで開始されたシナリオ用に設定する必要があり、正常に機能させることができません。説明すると、このシナリオでは、IDPはSAMLResponseを私の側のAssertionコンシューマーサービスに直接送信したいと考えており、OpenAMインスタンスは応答を正常にダイジェストし、ユーザーを基盤となるアプリケーションに送信できるはずです。私の質問は次のとおりです。
IDPと私たち(SP)の間でメタデータを交換/アップロードすることを除いて、このシナリオで必要な他の構成はありますか?
SP開始シナリオで現在機能している他のIDPと同じCOTにiDPのメタデータをアップロードできますか?または、IDPプロバイダーごとに新しいCOTが必要ですか?
SAMLResponseを送信するIDPにどのURLを提供する必要がありますか?メタデータからのAssertionConsumerServiceindex= "1" isDefault = "true" Binding = "urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"ですか?数日前にこれを試しましたが、OpenAMがエラーを報告しました-「これはこのリクエストに適したコンシューマーサービスではありません」などです。