問題タブ [siteminder]

カスタム ID プロバイダーを ACS に追加するためのヘルプを探しています。現在、Windows Azure でホストされているアプリケーションに取り組んでいます。認証のために - CA SiteMinder と連携するように ACS を構成しようとしています。

ACS は SAML 2.0 トークンを使用してカスタム ID プロバイダーをネイティブにサポートできると以前に言われましたが、この接続を ACS に適切に追加する方法がわかりません。管理ポータルから追加しようとしても、このオプションは提供されず、WS-Federation を使用せざるを得ません。WS-Federation を使用するために SiteMinder を再構成せずにこれを行う方法はありますか?

特定のスレッドは、ACS に ID プロバイダーを追加するための PowerShell コマンドレットが存在することを示唆していますが、そのようなリンクはすべて数年前 (そして現在は無効) のようです。

元のブログ発表の 1 つ: http://www.cloudidentity.com/blog/2011/05/17/announce-sample-acs-cmdlets-for-the-windows-azure-appfabric-access-control-service/

現在の Windows Azure PowerShell コマンドには、ACS と対話するためのオプションがないようです。

Siteminder シングル サインオン経由でアクセスする Java ポータル アプリケーションを作成しています。

次の Bean を使用して、現在 SM_USERID なしでリクエストを拒否しているアプリケーションがあります。

私の SSOUserDetailsS​​ervice は、SM_USERID ヘッダーに基づいてユーザーを検索し、Spring User として返します。

私の問題は、これをローカルで機能させることができないことです。Siteminder ヘッダーを取得できるように展開する必要があります。

モック Siteminder ヘッダーでローカル テスト ユーザーのユーザー名を Siteminder フィルターに送信できるようにするための回避策はありますか?

各ユーザーをボタンにしたページを考えていました。ボタンをクリックすると、SM_USER ヘッダーを含むリクエストが送信されます。

問題は、フィルターが SM_USER ヘッダーなしではサイトへのアクセスをまったく許可しないため、そのページにアクセスできなかったことです。

私は何をしますか？

デバイスに Cookie を配置する Siteminder と呼ばれる SSO ソリューションを使用します。有効期限は 5 日間に設定されていますが、2 日後に Cookie は Chrome によって削除され、5 日間の有効期限が切れる前にユーザーに再認証を強制します。なぜそれをするのか知っていますか？

標準の Android ブラウザはそれを行わず、Chrome のデスクトップ バージョンは Cookie を早期に失効させません。

拡張機能のない最新の Android バージョンの Chrome を使用しています。

Siteminder 認証を使用して Flex 3.5 Web アプリを作成していますが、ログアウトと IE9 に問題があります。

ログアウトボタンをクリックすると、私は電話します

siteminder.xxx.it/siteminderagent/xxx-logout.fcc/

最初のログアウトでこれらの呼び出しが行われます

302 HTTP siteminder.xxx.it /siteminderagent/xxx-logout.fcc/ 313 no-store text/html; charset=iso-8859-1 iexplore:40080
302 HTTP xxx.yyy.it /client-web 461 no-store text/html; charset=iso-8859-1 iexplore:40080
200 HTTP siteminder.xxx.it /siteminderagent/mylogin.fcc?TYPE=33554433&REALMOID=06-00006cf6-458d-1d40-964a-0265c0a85024&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTyNAME=-SM-SMAGENTyNAME=- %2fRANRmsQJxM%2fCmccgQ4%2bXx0vaGseQ3Fsv1KWcytAoO6LfYuVpjXDQ6XkxgUsWf&TARGET=-SM-http%3a%2f%2fxxx%2eyyy%2eit%2fclient--web 2.897 no-store text/html; charset=iso-8859-1 iexplore:40080
302 HTTP siteminder.xxx.it /siteminderagent/xxx-logout.fcc 313 no-store text/html; charset=iso-8859-1 iexplore:40080
302 HTTP xxx.yyy.it /client-web 461 no-store text/html; charset=iso-8859-1 iexplore:40080
200 HTTP siteminder.xxx.it /siteminderagent/mylogin.fcc?TYPE=33554433&REALMOID=06-00006cf6-458d-1d40-964a-0265c0a85024&GUID=&SMAUTHREASON=0&METHOD=GET&SMAGENTyNAME=-SM-SMAGENTyNAME=- %2fRANRmsQJxM%2fCmccgQ4%2bXx0vaGseQ3Fsv1KWcytAoO6LfYuVpjXDQ6XkxgUsWf&TARGET=-SM-http%3a%2f%2fxxx%2eyyy%2eit%2fclient--web 2.897 no-store text/html; charset=iso-8859-1 iexplore:40080

siteminder で再度ログインすると、flex Web アプリに正しくリダイレ​​クトされます。IE) がこの 302 リダイレクトを無視しているように見えるため、次のログアウトは機能しません。

302 HTTP siteminder.xxx.it /siteminderagent/xxx-logout.fcc/ 313 no-store text/html; charset=iso-8859-1 iexplore:36916

フィドラーから、この呼び出しの応答が

キャッシュタブで見ることができます

Cache-Control : no-store Date: Fri, 04 Oct 2013 16:03:54 GMT

IE9 がこの 302 リダイレクトを正しく読み取らないのはなぜですか?

注: IE キャッシュを無効にすると、すべて正常に動作します!!

ポリシー サーバーに新しい siteminder Web エージェントが既に登録されているかどうかを確認できる必要があります。Javaを使用してこれを行うことは可能ですか?. 12.5 SDK の詳細やサンプル ファイルが見つかりませんでした。

任意の入力を歓迎します。

アプリケーションに対して実行されたセキュリティ スキャン (SCABBA) の脆弱性のため、SMESSION cookie に secure および HttpOnly を追加しました。現在、あるアプリケーションから別のアプリケーションにリダイレクトしている場合（すべてがシングルサインオンになっている場合）、セッションが5〜10分で無効になるなどの問題に直面しています。ログインページにリダイレクトしています。

私たちが行ったSMSESSIONの修正がこれらの問題を引き起こしていることを願っていますが、それについては確信が持てません。以下の情報を入手した場所

siteminder が生成する smsession cookie は常に暗号化された形式であり、安全性も高い方法です。siteminder cookie に安全な http のみのフラグを実装することはできますが、これらのフラグを cookie に同様に実装した後、いくつかの機能上の問題が発生する可能性があります。(a) シームレスは、HTTP から HTTPS へ、またはその逆に移行すると壊れます。(すべて https のみです) (b) セッション維持の問題がほとんどない可能性があります (c) ログアウト機能が壊れる可能性があります。これらは、過去数回のケースで経験した破損のほんの一部です。

誰でもそれについて考えられますか？

前もって感謝します

-よろしく、Raviteja Koditiwada

ログインを提供するアプリケーションにSiteMinderポリシーサーバーがあり（アプリケーション1など）、SSOを介してログインしようとしている他のアプリケーションのサーバーにSiteminder Webエージェントをインストールしているため、アプリケーションにSSOを実装したい（たとえばアプリケーション 2)。この siteminder のことは、他のチームによって既に行われています。今、siteminder セッションを取得したいのですが、そのセッションから HTTP_SM_USER が必要です。これはすべて WebAgent の助けを借りて行います。ユーザーを取得したら、2番目のアプリケーションのDBに対してユーザーを検証したいと思います。この作業をどのように進めることができますか?

libmod_sm22.so または libmodsm_20.so モジュールを apache-2.4.6 にロードしようとすると、次のようなエラーが発生します: httpd: httpd.conf の 65 行目の構文エラー: /opt/software/siteminder/ をロードできませんサーバーへの waR12cr009/webagent/bin/libmod_sm22.so: /opt/software/siteminder/waR12cr009/webagent/bin/libmod_sm22.so: 未定義のシンボル: unixd_config

Apache のドキュメントから、Apache-2.4.6 API が「unixd_config」を「ap_unixd_config」に変更したことがわかりました。しかし、libmod_sm20.so / libmod_sm22.so はまだ「unixd_config」を探しています</p>

Apacheのインクルードフォルダーで、以下に示すようにunixd_configシンボルの参照を見つけました

これらは私が探しているものと完全に関連しているわけではないため、これらの参照を変更しようとはしませんでした。

この時点で、siteminder を apache-2.4.6 で動作させるための 2 つのオプションがあります。1) unixd_config ではなく ap_unixd_config を検索するように libmod_sm22. を準備します (可能であれば) 2) Apache 2.4.6 api へのパッチを探します。

これに関する考えは大歓迎です。

ありがとう、 キラン

CA siteminder を使用して、オフライン時にスタンドアロンのシック クライアントを認証する方法を探しています。すでに認証に siteminder を使用していますが、オフラインでもアプリケーションにアクセスしたいと考えています。

以前のセッションのトークンを保存して再度使用する方法、または他の方法で使用する方法はありますか?

アプリケーションは、swing java に基づいています。