問題タブ [siteminder]

アプリケーションの「カスタム」（JSF）ログインページがあります。私の会社は認証にSiteminderを使用しています。したがって、「カスタム」ページでSiteminderにログインするには、適切なフォームフィールド（ユーザー名/パスワードといくつかのSiteminder固有の非表示フィールド）を使用して/login.fccに投稿するフォームが必要です。

私がやろうとしているのは、JSFのフォーム検証などを引き続き活用し、login.fccに投稿することです。

これが私のカスタムフォームの簡略版です。

targetフィールドとsmagentnameフィールドに標準の非表示入力を使用していることに注意してください。これは、これらのフィールドのコントローラーにセッターとゲッターの両方を含める必要がないためです。ページがレンダリングされるときにコントローラーが値を提供するようにしたいだけです。

私のコントローラーメソッドは次のようになります。

パスワードフィールドを除くすべてのフィールドから値をログに記録していることがわかります。これらはすべてログに正しく出力されます...したがって、値を取得していることがわかります。私の「forwardTo（）」メソッドは、ExternalContextを取得し、dispatch（）を呼び出します... login.fccページ（「/forms/login.fcc」）へのパスを渡します。

フォームに値を入力してログインボタンをクリックすると、コンソールに値が表示されますが、ブラウザに404メッセージが表示されます。

「/forms/login.fcc」ページをアドレス行に手動で配置でき、login.fccページをレンダリングするGETに問題はありません。しかし、もちろん、login.fcc（GET）をレンダリングしたくありません。Siteminderログインを（POST経由で）実行したいと思います。

すべてのリクエストパラメータは、これが機能することを期待していたフォワードプロセスを通じて利用可能になることを理解しています。

これと同じフォームを使用してJSF化を解除し、ログインボタンでフォームを送信するだけです（そのアクションはPOST経由で/forms/login.fccになり、正常に機能しますが、その後、 JSFが提供するフォーム/フィールド検証の利点。

何か案は？

私は新しい開発者であり、ログアウト機能が機能しない理由を理解するタスクが割り当てられています。私は見つけることができるすべての可能な方法を試しました。以下は、私が使用したメソッドを含む、私が保持しているログです。

1. CommonHeader.ascxフォームにログアウトボタンを追加しました

2. logout.aspx.vbフォームで多数のメソッドを試し、セッションを終了またはクリアしましたが、いずれも機能しません。

a。logout.aspx.vb形式で定義されたClearSessionサブルーチン：

b。また、これをPage_Loadサブルーチンの先頭に追加しました。

c。また、ClearSessionサブルーチンをSession.Contents.Remove("Variable")からに変更しましたSession("Variable") = ""

これらの方法はどれも機能しません。私たちはSiteminderを使用していますが、これが問題の原因であるかどうか疑問に思っていました。Siteminderを使用するセッションをクリアしても何も見つかりません。また、このアプリケーションはVisualStudio2003でコーディングされていることにも注意してください。

これは、ascxファイルで使用しているボタンのコードです。

athp：TopNavText Title="ログアウト"NavigateUrl= "logout.aspx" Target = "_ top" /

次に、「logout.aspx」フォームで、上記の方法の1つ、またはそれぞれの組み合わせを使用してみました。これは私が触れる前のコードです：

私はsiteminderを初めて使用します。ASP.Net MVC アプリケーションを構築し、シングル サインオン プロセスに siteminder を使用する必要があります。誰かが私を正しい方向に導くことができれば素晴らしいことです。チュートリアルまたは実際のサンプル アプリケーションを探しています。

私はこの問題に困惑しており、専門家にアドバイスを求めて謙虚になりました。

Siteminder が有効になっている ASP.NET MVC アプリがあります。さらに、このアプリには、別のアプリケーションにデータを提供する Web サービスである URL のセクションがあります。これらの URL は、Siteminder セットアップで Siteminder 認証を「バイパス」するように構成されています。Siteminder の設定が正しいことを確認するために、バイパスを再確認しました。これらの URL をブラウザーに入力すると、JSON データが Siteminder 認証「なし」で表示されます。でも....

問題は、siteminder が有効になっているときに HttpWebResponse、Stream、および StreamReader を使用して JSON データを取得すると、JSON 形式のデータの代わりに StreamReader.ReadToEnd() が呼び出されたときに、文字列として Siteminder の「ログイン ページ HTML」を取得することです。

ここにいる別の開発者が同じ Web サービスにアクセスし、PYTHON アプリで「正しい」JSON 形式のデータを取得できるため、これは不可解です。また、通常の ASP.NET アプリに配置したので、MVC の問題ではありません。同じ結果が得られます。

使用すべき別のクラスまたはライブラリはありますか? Web サービス呼び出しに渡す必要がある構成設定はありますか? どんな助けでも大歓迎です。

以下は、Web サービス呼び出しの 1 つのコードです。

Oracle Apex を CA Siteminder が提供する SSO と統合しようとしています。Apex に同梱されている Apache は、組織にある Siteminder バージョンと互換性がありません。セッション管理が機能していることを確認する必要があります。また、環境変数からいくつかの項目を読み取る必要があります。これらの項目は、ログインの成功後に SiteMinder によって設定されます (従業員番号など)。動的に設定された環境変数を転送できるreverse_proxyを介した方法はありますか?

TIA、サウラブ

tl;dr Siteminder SSO を実装したい Apex インスタンスがあります。Apex に付属の apache は Siteminder と互換性のないバイナリです :-( .reverse_proxy (またはその他) を介して外部 apache で認証し、いくつかの環境変数を使用して Apex にリダイレクトできるようにする方法はありますか?

テストチームがパラメータTARGET=-SM-http％3a％2f％2fgrow％2egoogle％2ecom％2f％22％20％73％54％79％4c％のように攻撃している隠れた変数を含むFccファイルがあります65％3d％58％3a％65％58％70％52％65％53％73％49％6f％4e％28％61％6c％65％72％74％28％34％37％36％38％ 33％29％29％20％22 は、以下のように動作するようにターゲット変数を作成しています

INPUT type ='hidden' name ='target' value ='' STYLE = xss：expression（alert（'attack alert'））"'これにより、finteループでアラートメッセージが表示されます

私のフォームには、非表示のname = "target" value = "$$ target $$" name = "smauthreason" value = "$$smauthreason$$"としていくつかのフォーム値が含まれています

これらのフォーム値はフォーム要素に割り当てられます

だからどうすればxss攻撃の問題を回避できますか

私のアプリケーション コードでは、この種の URL を使用してユーザーをあるページから別のページにリダイレクトしています。http://myhost:8001/myapp/list.jsp?name=abc'd&age=10 ここで name は、ユーザーが最初のページで編集できる動的フィールドで、その中に一重引用符を含めることができます。

問題は、認証に siteminder を使用するときに、すべての URL が渡されることです。そして、siteminder はこの一重引用符をそのような攻撃の試みと見なし、この URL をブロックして、アクセスがブロックされたページにユーザーを誘導します。

この問題を解決するにはどうすればよいですか?

SiteMinder と ASP.NET の統合に問題があります。

着信要求に対して観察される動作は次のとおりです。

1. Global.asax:Application_AuthenticateRequest の実行
2. SiteMinder WebAgent が実行されます

私の顧客のサイトマインダーサポートチームからの私の理解では、予想される動作は間違いなく次のようになるはずです:

1. SiteMinder WebAgent が実行されます
2. Global.asax:Application_AuthenticateRequest の実行

siteminder webagent ハンドラーは、web.config の最初のハンドルとして確実に構成されます。

だから...私の質問は次のとおりです。

1. 誰でも期待される動作を確認/拒否できますか (ドキュメントへのリンクが望ましい)
2. 誰でも Web ハンドラーの実行を追跡する方法に関するリソースを指摘できますか (理想的には、個々の http モジュールがリクエストに参加した/どのように/いつ参加したかを 100% 確実に知りたいです)

また、SiteMinder を扱う際の一般的なアドバイスをいただければ幸いです :)

ありがとう！！

私たちのシステムは、認証のために Siteminder と対話し、バックエンド システムに接続するゲートウェイです。Siteminder はヘッダーで SMSESSION と SMIDENTITY を返しています。SMSESSION からユーザー ID を取得する方法。The format is as below: SMSESSION=dQtTYNjolqkVPoblyV2iUYzlaffxweO7jwHdbC8R8HCRzyuR2E6we22hBEdfOquw4Wx4V2Ly6tuTq7DctZXBpiUVOqYr1htSKExdDauUYD0Eh+jmdw9yBSSjkUm/nlDd6iFizN2zeyBAGda7jgHbyvKCB0T54ZrFFEMTd1jdJfiOJS0q6c

エンコードされた文字列を手動で取得してデコードしようとしましたが、ユーザー ID を取得できません。SMSESSION からユーザー ID を取得するには?

ありがとう、

Web サイトには SiteMinder セキュア プロキシを使用しています。問題は、当社の Web サイトの一部で匿名認証が必要なことです。たとえば、ClickOnce インストーラーと一部の WCF サービス。proxyrules.xmlで何かできることを期待して を調べていましnete:caseたが、そうではないようです。誰かが私を正しい方向に向けることができれば、とても感謝しています。

もう一度、ここに私が必要なものがあります：

• / - ソ
• /テスト/ - sso
• /wcf/ - 匿名

/wcf除外するにはどうすればよいですか？

** 更新 ** IgnoreUrlWebAgent のパラメーターを見つけましたが、何らかの理由で適用されず、ユーザー名とパスワードを求められます