我们有这种情况 -
- 数据权力用作身份验证,并且在成功的身份验证(使用 ADFS)时将 LTPA 令牌传递给工作灯调用
- 在 worklight 中,我们使用 WASLTPARealm 和相应的 LoginModule
- 发生了什么,worklight 正在查看用户是否在其注册表中,这需要在 WL 中再次集成 AD。
是否可以将数据能力用作可信赖的合作伙伴而不在注册表中寻找用户?我们正在寻找的是避免再次调用 AD 并仍然保护 wl 资源......
问问题
517 次
2 回答
2
WAS 需要验证 LTPA 令牌,因此它需要用户注册表(在本例中为 Active Directory 服务器)。一种解决方案是使用信任身份验证,因此 WAS 信任来自 DataPower 的请求,但这意味着必须实现 TAI(信任关联拦截器)(这不是一件容易的事)。
于 2013-02-20T13:35:17.253 回答
0
WAS 需要对传入用户进行授权。尝试做的是验证 LTPA 令牌 [这在没有 AD 的情况下发生],然后尝试授权用户。这个授权决定必须来自某个地方[来自本地文件或通过 LDAP]。另一件事是,此类授权可能不是来自 LDAP [在大多数情况下,AD 未配置为将用户作为具有特定资源权限的特定组的成员返回]。在这种情况下,WAS 会查询用户以获取授权信息,但查询只会双重检查用户是否存在于特定注册表中[您是正确的,如果 LTPA 令牌有效,则再次检查用户没有意义,因为 LTPA本身是从[最有可能]同一个注册表中查询/验证用户的数据生成的?
不幸的是,似乎没有办法避免它。
- 阿吉塔布
于 2013-07-26T07:22:36.800 回答