問題タブ [opensso]

Liferay で openSSO を構成するために openAM を使用しています。Liferay バックエンドと portal-ext.properties 内のすべてを変更した後、コンソールにこのエラーが表示されます

この問題または問題は何か教えてもらえますか?

openAM 10 と Liferay 6.1.20ee を使用しています

Orbeon 3.9 を別の展開 (クロス コンテキスト) で使用しています。アプリケーション セキュリティは OpenSSO を使用し、サーバーは Glassfish です。

注: Orbeon の送信 (バックリクエスト) は、OpenSSO ではなく、localhost からのみアクセス可能なコンテキストを持つ別の Web アプリケーションで処理されます。

セッション タイムアウトの期限が切れた後 (ブラウザでフォームを開いたままにしておくと、タイムアウトになるまで時間がかかります)、Orbeon は最初の「クリック」の直後に「読み込み中...」ループに陥ります。

Firebugが言うように：

1) /application-context/orbeon/xforms-server に対する Orbeon ajax POST 要求

2) OpenSSO は 302 Moved Temporarily でこのリクエストを停止します

3) ajax は /opensso/cdcservlet を GET 要求していますか?...

4) 200 が返されました。おそらくログイン ページの内容です。

5) 応答は無視されました。1) に移動します。

果てしなく。

私はこれを試しました: http://wiki.orbeon.com/forms/how-to/other/redirect-users-error

しかし、ダイアログが表示されないため、役に立ちませんでした。

ブラウザをそのログイン ページにリダイレクトする必要があります。

助言がありますか？

openam SSO を使用してすべて認証される多数の Web サイトの保守を開始しました。ただし、ユーザーの 1 人が永続的な Cookie (DProPCookie) を設定すると、常に機能するとは限りません。

再現シナリオは次のとおりです。

1. 永続的な Cookie を設定して、openam にログインします。
2. ブラウザを再起動します (セッション Cookie をクリアするため)
3. サイト A に移動すると、永続的な Cookie により、ユーザーは自動的にログインします
4. サイト B に移動すると、ユーザーにログイン ページが表示されます (自動的にログインする必要があります)。

ステップ 3 の後、ブラウザから iPlanetDirectoryPro Cookie を削除すると、サイト B に正常にログインできます (永続的な Cookie を使用)。DProPCookie が設定されている場合にサイト A から生成された iPlanetDirectoryPro Cookie は、サイト B では機能しないようです。

サイト A と B のさまざまな順列を試してみましたが、いずれの場合もシナリオは同じであることに注意してください。

私は openam にまったく慣れていないので、これをデバッグする方法についてのヒントがあれば、または明らかにうまくいかないものがない場合はお知らせください。

前もって感謝します。

編集：

その後、DProPCookie を使用した認証時に返された iPlanetDirectoryPro Cookie が機能しないことを発見しました。したがって、クロスドメインとは何の関係もありません。

1. 永続的な Cookie を設定して、openam にログインします。
2. ブラウザを再起動します (セッション Cookie をクリアするため)
3. サイト A に移動すると、永続的な Cookie により、ユーザーは自動的にログインします
4. iPlanetDirectoryPro Cookie 以外のすべての Cookie を削除します。
5. ページを更新 - ログインを求められる

通常のログインで生成された iPlanetDirectoryPro Cookie を使用してテストを繰り返すと、ページを更新すると、自動的に認証されます。（これを反映するために質問のタイトルを変更しました）。

さらに編集：

デバッグを開始 - ログに次の例外が表示されます:

openam コードを簡単にスキャンすると、AMAccountLockout.java:264 でユーザー名が取得されていないようです。

Oracle Open SSO Fedlet を使用しようとしています。fedlet に付属のサンプル アプリを使用して IDP に正常に接続しましたが、アプリの bin ディレクトリに dll をドロップし、構成ファイルを App_Data ディレクトリに追加すると、アプリケーションにアクセスしようとすると、エラーメッセージが表示されます

指定されたホーム フォルダが見つかりませんでした

私が理解している限り、デフォルトのホームフォルダーはApp_Dataである必要がありますが、これは存在し、構成ファイルを配置した場所です。アイデアはありますか？

/identityservices/* および他の opensso / openam サーブレットへのアクセスを無効にする方法を知りたいです。

問題は、強力な認証のために独自の認証モジュールを作成したことです。/identityservices/* がユーザー名とパスワードのみで token.id を取得できるという事実は、私の場合、十分に安全ではないため、無効にしたいと考えています。

opensso / openam web.xml を変更することで無効にできると思いますが、「よりスマートな」方法はないでしょうか。

なにか提案を ？手伝ってくれてありがとう

RESTful API を使用した SSO の実装について少し混乱しています。これまでのところ、RESTful API を使用して認証し、token-id.

SSO はどのように実装できますか? トークンを検証するには、Cookie などとしてどこかに保存する必要があります。これを行う方法はありますか？

OpenSSO/Spring Security によって保護されているサーバー間の GET 要求を介して REST サービスにアクセスしようとしていますが、アクセスできません。私のSpring Rest Templateクライアントは、認証ワークフローを介してリダイレクトされるため、Cookieを保持するステートフルではないようです。

ブラウザーでこれを行うと、最初の要求が OpenSSO にリダイレクトされ、証明書 (PKI) を要求され、それを提示し、認証 Cookie ヘッダーで応答を取得します。次に、元の宛先にリダイレクトされ、リクエスト ヘッダーに認証 Cookie を提示して、途中で移動します。

これは、サーバー間の呼び出しでは発生していません。

私はかなり長い間検索してきましたが、リダイレクト全体でこの状態を保持するソリューションが見つからないようです!

自分で構成していない OpenSSO 8 を使用しています。完全に構成されており、問題はありません。私の問題は、SAML 資格情報のデジタル署名を検証するために使用される発行者証明書を見つける必要があることです。どこで探せばよいか教えていただけますか？

SP から属性マッパーを構成したいと考えています。デフォルトでは、マッパーは com.sun.identity.saml2.plugins.DefaultSPAttributeMapper クラスです。私の問題は、静的な値もそこに置く必要があることです。これは、属性の 1 つの値が常に同じで、単純な文字列であることを意味します。デフォルトのマッパークラスを使用してそれを行う方法はありますか、それとも独自のマッパークラスを作成する必要がありますか? デフォルトでそのような機能が提供されない場合、そのために使用できる他のマッパーがあるのでしょうか?

私は OpenSSO を使用しており、メタデータ ファイルに基づいてリモート SP を作成しました。この SP の認証コンテキストとしてパスワードを使用したいのですが、OpenSSO にそのように指示する方法がわかりません。OpenSSO を使用すると、ゼロから作成されたホストされた SP 用に構成できますが、メタデータ ファイルに基づいて作成されたリモート SP 用には構成できません。どうすればそれを構成できますか? IdP のデフォルトの認証コンテキストは PasswordProtectedTransport です。このコンテキストを使用している他のリモート SP があるため、変更したくありません。ただし、ここで説明している 1 つの SP に対してのみパスワード コンテキストを使用したいと思います。