問題タブ [opensso]

私はopensso（openam）が初めてです。Tomcat にデプロイされた Web アプリケーションを SSO を使用して保護したいと考えています。明確にする基本的な質問があります。

1. tomcat、opensso.war など、作業を完了するために必要な基本的なソフトウェア コンポーネントは何ですか?
2. インストールする必要があるポリシー エージェントの数と場所。

私はその文書を一読しましたが、明確に理解することができません。

前もって感謝します。あなたのリプレイを待っています..

ジェームズ

認証と承認のニーズに OpenSSO を使用したいと考えていますが、デフォルトの LDAP データストアではなく、データベースと通信することを希望しています。OpenAM 9.0 リリースには、実験的なデータベース データストアが存在することがわかりました。

ただし、認証とユーザーのライフサイクル管理だけに関心があるようです。データベース データストアに資格情報を格納するための準備はありません。認証と承認の情報全体をデータベースに保持したいと考えています。

コードをカスタマイズして、ポリシーを評価し、特定のリソースでユーザーができることとできないことを決定するために OpenAM がデータベースと対話するようにすることも問題ありません。ところで、ページ (URL) だけでなく、いくつかの種類のリソースを安全に保護するための要件が​​あります。

コードを調べたところ、com.sun.identity.entitlement.opensso.DataStore.java、com.sun.identity.entitlement.PolicyDataStore.java、com.sun.identity.entitlement.opensso などの基本データストア クラスが見つかり ました 。 OpenSSOPolicyDataStore.java

これらはすべて、LDAP ベースの実装に密接に結び付けられています。

エンタイトルメントとポリシーの決定のためにopenssoがデータベースデータストアと通信するようにカスタマイズできるインターフェイスまたは抽象クラスはありますか?

私が始めることができるヒントを提供できる場合は、この作業を行うために数か月の努力を惜しみません.

よろしくお願いいたします。

サンバ

サービス プロバイダー サイトで OpenSAML を使用して、クライアントに SSO を提供しています。私たちのクライアント (ID プロバイダー) は、最後に OpenSSO を使用しています。OpenSSO によってポストされる SAML 応答は、名前空間によって修飾されていない署名要素に関しては少し異なります。これは OpenSAML ではうまくいかないようで samlResponse.getSignature()、署名を検証できないため、メソッドから null が返されます。

問題を引き起こしている SamlReponse の署名スニペット

機能する別の SAML レスポンスからの署名スニペット

上記からわかるように、OpenSSO サーバーからの署名スニペットには、SAML バインディング仕様で指定されている名前空間修飾子が含まれていません。

私にとっての最後のオプションは、OpenSAML ライブラリを機能させるために署名要素の前に名前空間を追加するために投稿された SAMLResponse のいくつかのマッサージを行うことです。

OpenSAML ライブラリを使用してこれを解決する方法についてのアイデアは高く評価されています。

よろしくお願いします CJ

Ubuntu で OpenLDAP をセットアップする方法や、OpenAM (以前の OpenSSO) 用にデータ ストアを構成する方法については、多くの情報源があることを認識しています。私にとって最も役立つと思われるものは次のとおりです。

http://ubuntuforums.org/showpost.php?p=8236370&postcount=1

https://blogs.oracle.com/indira/entry/using_openldap_as_user_data

残念ながら、OpenSSO (実際には Java Access Manager ですが、見た目と同じように互換性があることを願っています) がインストールされていた以前のシステムからエクスポートされた LDIF をインポートしようとすると、次のエラーが発生します。

objectClass 行の一部をコメント アウトすると、別の構文エラーが発生し、重要なスキーマが欠落しているように見えます。上記の 2 番目のリンクで提供されているスキーマを追加しましたが、うまくいかないようです。

このページ [ http://docs.sun.com/app/docs/doc/820-3320/ghlvi?a=view (リンク切れ) ] には、インポートする LDIF ファイルのリストが記載されており、OpenSSO で配布されていることが示唆されていますが、残念ながら、それらのすべてが ForgeRock (OpenAM のメンテナー) から入手可能なダウンロードに含まれているわけではないようです。[ http://www.forgerock.org/downloads.html ] fam_* スキーマのみが存在します。

次に何をしようか迷っています。私は LDAP 構成の経験があまりないので、明らかなことを見落としている可能性があります。助けてくれてありがとう！

Policy Agent を使用して OpenSSO との統合を担当した従来の ColdFusion アプリがあります。ポリシー エージェントは、基本的にフィルターとして機能するネイティブ HTTP モジュールです (認証キャッシュにありませんか? returnUrl を指定してこの URL にリダイレクトします。そうでない場合は、返された認証情報を処理してユーザーを通過させるために POST されている場合) .

問題は、メインの index.cfm ページがアプリのメイン ページ (app/index.cfm) に 302 リダイレクトを行うことです。ポリシー エージェントが 302 リダイレクトを生成すると、リターン URL がだけでhttp://sameplace/index.cfm,app/index.cfmはなく になりhttp://sameplaceます。

ColdFusion の * ISAPI ハンドラーが何らかの形で呼び出され、ポリシー エージェント MODULE が既存の応答ヘッダーによって混乱し、それ自体のリターン URL にコンマを追加しているようです。

誰でもこれを経験したことがありますか？

サービス プロバイダとして Fedlet を使用し、ID プロバイダとして CA Siteminder を使用した人はいますか? クライアントは CA Siteminder フェデレーション セキュリティ サービスを使用しており、属性マッピングを使用して SAMLv2 アサーションを受け入れることができるサービス プロバイダーになるようにエンドを構成する必要があります。この設定で IDP が開始した SSO は可能ですか?

私は Fedlet を OpenSSO ID プロバイダーでのみ動作させることができましたが、CA Siteminder では動作しませんでした。クライアントは、使用する idp と sp ID、それらのメタデータ、プロトコル、バインディング標準のみを提供し、他には何も提供しませんでした。アサーション コンシューマー サービスの URL (Fedlet conf の sp.xml から取得) と、ユーザー側でログインが成功したときにユーザーをリダイレクトするリレー状態の URL を提供しました。

または、CA siteminder IDP のサービス プロバイダーとして使用する別のテクノロジをお勧めしますか?

お知らせ下さい。

OpenSSO を使用するために Web アプリケーションを追加する方法を示す良いサンプル アプリケーションを知っていますか?

Windows7にTomcat用のj2eeAgent3をインストールしようとしています。agentadminバッチファイルを開いてインストールを開始しようとしていますが、プログラムは画面上で点滅するだけで、影響はありません。これは互換性の問題ですか？何か助けはありますか？

AuthnRequest中に、AudienceRestrictionが発生する場合がありますか

AuthnRequestの発行者とは異なります

openSSO (openAM) を使用して SAML2 (または SAML1) IdP を ID-FF SP とフェデレートする可能性はありますか?

はいの場合、どのように？