問題タブ [opensso]

OpenSSOのロードマップによると、資格はsummer09にリリースされる予定です。データレベルのセキュリティを解決できるかどうかは誰でも知っています。たとえば、「userAは画面のこのフィールドに<500しか入力できません」、「UserAはドロップダウンにこれらの値しか表示できません」などです。
これは組織でどのように実装されていますか。各アプリはデータレベルのセキュリティを制御します。または、そのためのエンタープライズリポジトリを持っている人もいます。
ありがとう

私は 2 つの「ドメイン」にまたがってローカルで作業しています。マシンに enterprise.local および application.local 仮想ホストがあり、「local」または「.local」のドメイン Cookie を設定する必要がありますが、Cookie を適切に設定するのに問題があります。application.local には、次のようなものがあります。

私もこれを試しました：

を使用するsetcookie()と、Cookie は設定されません。ヘッダーを使用してSet-Cookie、Cookieが設定されます。両方からリダイレクトを削除しましたが、結果は変わりません。では機能しますSet-Cookieが、では機能しませんsetcookie()。どのソリューションを使用するかはあまり好みではないので、それで問題ありませんが、Set-Cookieソリューションでは、ドメインを追加するとすぐにすべてが壊れます。

ドメイン値を追加するとすぐに、ヘッダー エラーが発生します。

ドメイン値を「local」および「.local」として試しました。挙動は変わりません。

明示的に Cookie にアクセスする必要はめったにないので、明らかな何かが欠けていることを願っていますが、確かにそれはわかりません。どんな洞察も大歓迎です。

更新：これをもう少し絞り込んだと思います。ドメイン値を含めない限り、どちらの方法でも機能するようです。Cookie の特定のドメインとして "local" または ".local" を使用すると問題が発生する可能性はありますか?

PHP（またはJavaや.Net以外の技術）でOpenSSOフェドレットを使用してIDフェデレーションを有効にすることは可能ですか？

PHPで実装するフェドレットの使用例はありますか？

公式のWebエージェントのユーザードキュメントには、サポートされているSAMLのバージョンは記載されていません。これをSunのOpenSSOポリシーサーバーを実行していないポリシーサーバーと統合しようとしているので、唯一の要件はSAML2.0をサポートすることです。誰かがこのタイプのセットアップの経験がありますか？

OpenSSO を ID プロバイダーとして使用している場合、STS ダンスを実行するように .NET 証明書利用者を構成するには (つまり、FedUtil.exe を使用して) 何をすればよいですか?

OpenSSO の WS-Trust クライアント サンプルを実行したので、OSSO は良好な状態にあり、次のステップに進む準備ができていると思います。

FedUtil.exe の「既存の STS を使用する」ウォールにいます。OpenSSO の STS WS-Federation メタデータ ドキュメントはどこで入手できますか? 私はもう試した：

• the.osso.server:port/opensso/sts
• the.osso.server:port/opensso/sts?wsdl
• the.osso.server:ポート/opensso/sts/mex
• the.osso.server:port/opensso/sts/mex?wsdl
• the.osso.server:port/opensso/sts/soap11
• the.osso.server:port/opensso/sts/soap11?wsdl

運がない。

ご協力いただきありがとうございます、

タイラー

チュートリアルによると、OpenSSOにアクセスして「エクスプレスビルド」をダウンロードする必要があります。ただし、OpenSSOサイトの「ExpressBuild 7」のダウンロードリンクでは、有料のサポート契約を結んでいるアカウントからログインする必要があるようです。

現在、OpenSSOウォーをダウンロードするにはどうすればよいですか？

Sun OpenSSO (現在は ForgeRock OpenAM) の経験がある方をお待ちしています。

Java/JBoss EAP 5.0 で OpenSSO Client SDK を使用して、ActiveDirectory 内のすべてのグループを取得しようとしています。

Web で見つけたさまざまなサンプルとコード スニペットを組み合わせて次のことを試しましたが、これは失敗し、最終的に「ユーザー以外の ID のメンバーシップは許可されていません」とログに記録されます。基本的なアプローチは、 AMIdentityRepository -> getRealmIdentity() -> getMemberships(IdType.GROUP) を使用することでした:

ユーザーがグループのメンバーであるかどうかを判断したり、ユーザーのグループを取得したりしようとしているのではなく、すべてのグループのリストを取得しようとしていることに注意してください。

任意の提案をいただければ幸いです - ありがとう!

REST レイヤーと通信するウィジェット ベースのフロント エンドがあります。フロントエンドを使用するには、ユーザー名とパスワードでログインする必要があります。いったん入ると、ユーザーはウィジェットを操作して、REST レイヤーを呼び出すことができます。この時点では、REST レイヤーで承認は行われません。正常にログインできた場合は、必要なことを行うことができます。

ただし、ログインしたユーザーのみが REST レイヤーにアクセスできるようにしたいと考えています。ブラウザや他のクライアントでヒットしようとすると、404 が返されるはずです。

OpenSSO でこれを行うことができましたが、複雑です。そして、OpenAM への移行により、その将来は疑わしいものになっています。また、私が構築した REST レイヤーの Java コードが、おそらく何によっても保護されている他のサービスへのクライアントとして機能する、他の REST レイヤーと統合する必要があります。

したがって、私は自分のものと他のものとのセキュリティのプラグ可能性を保護することに問題があります。

私は OAuth と CAS と OpenID と JOSSO などについて読んでいて、それらがどの問題を解決するのか混乱していることに気づきました。私の問題はかなり基本的なものだと思っていましたが、途方に暮れています。どんな洞察も高く評価されます。

ありがとう。

OpenAM（以前のSun OpenSSO）でJavaEEソフトウェアプラットフォーム全体を保護することを検討しています。アプリケーション（WebLogic ASで実行）は、JEEポリシーエージェントとWS-SecuritySAMLトークンプロファイルを使用したWebサービスによって保護されます。

私の理解では、SSOTokenManagerを使用すると、アプリケーションコードでOpenAMのSSOトークンを取得できます。ただし、 SAMLで保護されたWebサービスを呼び出すには、OpenAMからSAMLアサーションを取得する必要があります。誰かがそうする方法を教えてもらえますか？

また、Webサービスコードでは、SAMLアサーションからSSOトークンを取得する必要がある場合があります。それは可能ですか？

現在、新しい OpenSSO サーバーを実装しています。サーバーは Web サーバーとは別のサーバー上にあり、PHP Web サーバーで認証を行うのに問題があります。

openSSO トークンで設定された Cookie は、iPlanetDirectoryPro と呼ばれます。これは authServer.company.com から設定されます。これを webserver.company.com から読み取り、HTTPRequest を authserver.company.com に送信して、その OpenSSO トークンの属性を取得する必要があります。

現在、私のコードは次のようになっていますが、正しく動作していません。Cookie を正しく読み取っていないことが原因であると思われます。

これについてのアイデアはありますか？私はこれについて間違った方法で行っていますか？

更新- 私が見つけた一番下の行は、別のサーバーから来ていたので、サーバーが単にクッキーを読み取ることができなかったということでした. 作業の一環として、ユーザーが Web サーバーからログイン ページを送信できるようにする REST API を実装しました。応答を返す AuthServer への送信。応答は通常、トークンが無効でない限り、トークンである必要があります。トークンの場合、トークンを含む新しい Cookie が作成されるため、アプリケーションはそのトークンを使用して認証サーバーと通信できますが、Cookie は webservers ドメインの下にあります。