問題タブ [webseal]

Webseal 6.1 の背後にあるバックエンドに接続するネイティブ IOS アプリケーションがあります。これはもともと IOS 7 を対象として書かれており、バックエンド サーバーとの通信に NSURLConnection を多用しています。

デバイスを IOS 9 にアップグレードするまで、このアプリケーションは問題なく動作していました。そのため、問題の原因を調査したところ、IOS 9 で導入された App Transport Security が原因で、アプリケーションがバックエンドに強制的に接続されていることがわかりました。 TLS 1.2 接続プロトコルを使用します。

この問題の解決策を探すのに何時間も費やしましたが、常に次の解決策にたどり着きました。

上記の info.plist の追加は問題を解決せず、 を返してCFNetwork SSLHandshake failed (-9824)います。それで、さらに答えを探したところ、使用できる別のキーがあることがわかりました。そこで、plist に以下を追加しました。 NSTemporaryExceptionRequiresForwardSecrecyに設定しNOます。それでもSSLエラーは彼らのもので、これはエラーコードですCFNetwork SSLHandshake failed (-9801).

私が偶然見つけた別のブログではtemporary、これは IOS 9 Beta を対象としているため、キー を使用しないでtemporaryください。NSTemporaryExceptionAllowsInsecureHTTPLoadsNSExceptionAllowsInsecureHTTPLoadsNSTemporaryExceptionMinimumTLSVersionNSExceptionMinimumTLSVersionNSTemporaryExceptionRequiresForwardSecrecyNSExceptionRequiresForwardSecrecy

上記のプロパティのキーと値のさまざまな組み合わせを試しましたが、エラーは同じです。

私が見つけた別の解決策は、IOS 9 の厳密なトランスポート チェックをオフにすることです。

しかし、これも機能していません。現在、この問題で立ち往生しており、アプリケーションが使用できません。

トランスポートに TLS 1.2 を使用するようにバックエンドを修正することでこれを修正できることはわかっていますが、現時点ではこれはオプションではありません。現時点で唯一受け入れられるのは、クライアント アプリを変更することです。

私のアプリケーションを機能させるために、誰かが不足している構成を教えてくれることを願っています。ありがとうございました。

一部のアプリケーションにログイン/ログアウト ページを提供する EAI (外部認証インターフェイス) ソリューションを作成しています。

現在、2 つの WebSEAL 6.1 リバース プロキシの前に配置された F5 ロード バランサーがあり、WebSphere Application Server 8.0.0.10 で実行されている 2 つのアプリケーション間で要求のバランスを取ります。

ログイン ページは JSF 2.0.6 アプリケーションから提供されており、セッション タイムアウトがないようにクライアント状態保存を使用しています。

JSF 2.2を使用して実際のステートレスフラグを使用できないため、ページはリクエストスコープのBeanも使用して、可能な限りステートレスに近づけています。

次のシナリオで問題が見つかり、解決策を考え出すのに苦労しています

1. 顧客はブラウザでログイン ページに移動します。WebSEAL はそれらをいずれかの WebSphere サーバーに送信します。
2. その後、顧客はフォームを送信しますが、WebSEAL は新しい要求を別の WebSphere サーバーに送信します。
3. 顧客はエラーに遭遇しますが、空白のログイン ページにリダイレクトされます。

OmniFaces FullAjaxExceptionHandler を使用して、ステップ 2 で生成された View Expired エラーをキャッチします。

また、WebSEAL に強制的に 2 つの WebSphere サーバー間のトラフィックをリダイレクトさせ、シナリオをシミュレートすることで、エラーを再現することもできます。

この問題は、1 つの WebSphere サーバーからのビュー ステートが他の WebSphere サーバーと互換性がないために発生しているようです。これは理にかなっています。

私たちの目的では、ユーザーをログインするために送信されたフォームの詳細のみが必要です。ビュー ステートは私たちの側では必要ありません。

あるサーバーのクライアント ビュー ステートに互換性を持たせたり、他のサーバーと連携させたりする方法はありますか?

この問題に関するヘルプをいただければ幸いです。

TAM で保護された SOAP Web サービスをテストしたいと考えています。

以前にこれを行ったことがあれば、SOAP UI SIDE(バージョン 5.2) で行う必要がある設定を教えてください。

ユーザー名とパスワードを設定しようとしましたが、サービスにアクセスできませんでした。

応答としてHTMLフォームの下に取得する

mobilefirst cli 7.1 から作成されたハイブリッド android アプリは、webseal ジャンクションを持つ UAT 環境の mobilefirst サーバーから認証トークンを取得していないため、これらの呼び出しに対して 401 無許可が返されるため、後続のアダプター呼び出しは失敗します。同じクライアント側のハイブリッド コードから作成された ios アプリは、webseal を使用した同じ UAT 環境でうまく機能します。

もう 1 つの興味深い事実は、webseal がない SIT 環境を指すと、同じ Android アプリが正常に動作することです。

だから私はクライアント（WLHybridRequestSender）が「/authorization/v1/token」呼び出しを送信するトリガーとなるものを理解しようとしています.Websealが前の呼び出し「token」呼び出しへの応答をフィルタリングしている可能性はありますか？クライアント側のコード？もしそうなら、この問題を解決するにはどこで何を探すべきですか?

アドバイスやヘルプをいただければ幸いです。

ありがとう

ユーザーが Windows 認証を介して既にログインしている場合に、ユーザーが特定の Web アプリケーションの資格情報を入力する必要がないように、WebSeal シングル サインオンの実装に取り​​組んでいます。誰でも私を正しい方向に向けてください。Webシールは初めてです

Webseal saml エンドポイントに接続しようとすると、次のエラーが発生します

私のサーバーは SP として設定されており、saml20-idp-remote.php で設定した IDP に対して認証しようとしています。

リダイレクトは正しく機能しますが、IDP が SP にリダイレクトされると、次のエラーが発生します。

構成ファイルのサブジェクト確認データの受信者 URL を変更するにはどうすればよいですか。

私の設定ファイルは次のとおりです。

SAML2.0 Idp リモート設定

乾杯