問題タブ [picketlink]

私は長年のSpringユーザーですが、Java EEのみに切り替える必要がありました。思い通りにいかないことも多々…

CXF / SOAP サービスを利用しています

実装:

また、ステートレス EJB である KlasseService:

DeclaresRole アノテーションは次のように指定されます。

一致する DeltaSpike オーソライザーがあります。

私のbeans.xmlは次のようになります：

SOAP リクエストが処理されている場合、 CutomAuthorizer コードは呼び出されません(インターフェース、実装、さらにはサービス - EJB に注釈を付けます)。ただし、同じアノテーションがie から呼び出されるメソッドに使用されている場合。JSF - すべてが期待どおりに機能します。

関連する質問がいくつか見つかりました: Deltaspike と @Stateless Bean ただし、これを読んで: EJB 3.1 と CDI を使用する場所は? EJBコンテナはCDIインターセプターなどを認識する必要があると思います。また、他のカスタムインターセプター（@AroundInvoke）が機能し、JSFリクエストは期待どおりに保護されています。

PicketLink/Deltaspike を SOAP レイヤーで使用できるようにする明らかな何かが欠けていますか? 別の方法として、Spring Security + AspectJ ポイントカットを使用することもできます : http://forum.spring.io/forum/spring-projects/security/119811-method-security-java-ee-cdi面倒くさい……。

PS。私はWildFly 8.2を使用しています（WF9で-同じ結果）

次から picketlink クイックスタートを実行しようとしています。

https://github.com/jboss-developer/jboss-picketlink-quickstarts

すなわち：

https://github.com/jboss-developer/jboss-picketlink-quickstarts/tree/master/picketlink-federation-saml-idp-basic

しかし、maven の依存関係をインストールしようとするたびに、次のエラーが発生します。

これが私の後のログ全体です$ mvn clean package jboss-as:deploy

Maven フォルダーに settings.xml を追加する必要があるかもしれないことがわかりましたが、そのファイルを作成する方法や、そのファイルに何を入れるかはわかりません。

PicketLink (LDAP) を構成して基本的な多対多の関係を作成するにはどうすればよいですか? 仮定: ユーザー 0<-->* ロール 0<-->* パーミッション したがって、ユーザーは複数のロールを持つことができ、ロールは複数のパーミッションを持つことができます。

PicketLink では、いくつかの役割を作成し、そこにいくつかのユーザー (カスタム クラスも) を追加できます。

しかし、LDAP\PicketLink でこの多対多の関係を作成するために、同じ役割または別の方法にアクセス許可を追加するにはどうすればよいでしょうか? したがって、私の役割は次のようになります。

私はいくつかの情報を見つけました : https://docs.jboss.org/picketlink/2/2.6.0.CR1/reference/html/ch09.htmlタイプ。" LDAPがこれを行うことができないようにしていますか?

また、いくつかのカスタム マッピング用にカスタム メンバーシップ クラスを作成しようとしました。

しかし、実行時にエラーが発生し、これを関係マネージャーに追加できませんでした。

LDAP/PicketLink で多対多の関係を行う良い例を見た人はいますか? または、同様の問題に対する解決策があるかもしれませんか？

現在、 PicketLink構成をRedhat DS(389-ds)で動作させようとしていますが、 RFC 4530 entryUUIDはサポートされていないようです。そうですか？少なくとも 389 からは、そのような属性は見つかりません。トリックを実行できるサーバー利用可能なプラグインはありますか? または既知の回避策はありますか？私はこれについていくつかのバグがあったと思いますが、それがどこにあるのかは明らかではありませんか? 少なくとも entryUUID が 389-server のスキーマから欠落しています。Redhat DS (389 サーバー) を PicketLink の entryUUID で動作させるにはどうすればよいですか? #137 (RFC 4530 entryUUID 属性のサポートなし) – 389 プロジェクト

認証、認可、ID 管理フレームワークとして JBoss PicketLink を標準化し、エンタープライズ アプリケーション全体で使用しています。ここで、JBoss ModeShape をコンテンツ管理リポジトリとしてアプリケーションの 1 つに統合したいと考えています。ModeShape が PicketLink Identity、Roles、Groupsなどを認証および承認の決定に活用する方法はありますか? どちらも JBoss プロジェクトなので、統合が簡単になることを願っていますが、設定方法に関するドキュメントは見つかりませんでした。

私はSAMLを自己学習しています。ピケット リンクのクイック スタートを使用して学習しています: https://github.com/jboss-developer/jboss-picketlink-quickstarts。

ポート 9080 で実行されている wildfly 9.0.2 に picketlink-federation-saml-idp-basic-wildfly.war を展開し、ポート 8080 で実行されている wildfly 9.0.2 に展開された picketlink-federation-saml-sp-post-basic-wildfly.war を展開しました。また、standalone.xml を更新して、IDP と SP のセキュリティ ドメインを更新しました。

サンプルで行わなければならなかった唯一の変更は、picketlink-jbas7 の依存関係を更新することでした。これは、サンプル 2.8.0.Beta1-SNAPSHOT のバージョンが解決できないためです。IDP で使用している Maven 依存関係は次のとおりです。

私が直面している問題は、IDP にログインして SP リンクをクリックすると、SP ログに次の例外が表示されることです。

私が間違っていることを教えてください。

ありがとう

JWT トークンを使用して RESTful Web サービスを保護しようとしています。基本的にpicketlink-angularjs-rest: PicketLink AngularJS と REST セキュリティのクイックスタートですが、LDAP (AD) ID ストアを使用します。

クライアントがトークンを取得しようとすると、LDAP 認証は正常に機能しますNullPointerExceptionが、JWSTokenProviderが token でアカウントを更新しようとすると発生します。

(完全なスタックトレースはこちら)

このシナリオを機能させるにはどうすればよいですか? または、PicketLink でそれが不可能な場合、代替手段はありますか?" 私は Java EE 7 と WildFly アプリケーション サーバーを使用しています。

web.xml に primefaces テーマを追加しました...

...そして、ヘッド内のスタイルシートへのリンクを取得します...

...セッション ID のないすべての URL をログイン画面にリダイレクトするシングル サインオンを使用しない場合は、これで問題ありません。したがって、スタイルシートは次のように解決されます。

プライムフェイスからの他のリンクは問題ありません。たとえば、次のようになります。

追加情報として、次を追加する必要があります。

• web.xml のセッション モードは「URL」に設定されています (変更したくありません)。

• シングル サインオンには picketlink を使用します (WEB-INF フォルダーに picketlink.xml があります)。
• Web サーバーは JBoss EAP 6.1 です

任意のアイデア、どうすればよいか

• プライムフェイスにセッションIDをスタイルシートhrefに追加させますか?
• シングル サインオン メカニズムを除外しますか?
• またはそれ以外の方法で機能させますか？

スタイルシートを直接追加することは可能ですが、すべてのアプリケーションに JSF2 テンプレートを使用しているため望ましくありませんが、1 つのアプリケーションのみに構成したいと考えています。前もって感謝します！

現在仕上げ中の Java EE アプリケーションは、セキュリティ フレームワークに JBoss PicketLink と Apache DeltaSpike を利用しています。すべての認証と承認の決定は、これらのライブラリを使用して行われます。セキュリティ要件が厳しいため、ほとんどの EJB サービス メソッドには承認チェックがあります。場合によっては、権限のないユーザーが権限のあるアクションを実行する必要があります。たとえば、管理者ロールのユーザーのみがユーザー アカウントの作成を許可されます。ただし、ユーザーの自己登録中に、ユーザー アカウントを作成する必要があります。通常、この機密性の高い操作には「Run As」などを使用して、1 回の呼び出しで非特権ユーザーが特権アクションを実行する権限を持つようにします。

ただし、PicketLink のドキュメントや例の中で、PicketLink がこの機能をサポートしていることを示唆するものは見たことがありません。私は他のセキュリティフレームワークを知っています。Java EE は @RunAs アノテーションを介してこれをサポートしています。ただし、これを適用できる場所を非常にきめ細かく制御したいので、アノテーションでこれを行うことはお勧めしません。

これを行う方法を説明するドキュメントや例を誰かに教えてもらえますか? この機能は PicketLink 内でサポートされていますか? それとも運が悪いのでしょうか？この種の状況と要件に対処するために使用できる別の方法はありますか?