问题标签 [authzforce]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
116 浏览

fiware - Cosmos 中的 AuthZForce FIWARE

如何在 Cosmos 中使用 AuthZForce?Cosmos 的配置如何使用 AuthZForce?

0 投票
1 回答
198 浏览

fiware - AuthZForce-PEP-IDM 即使用户没有特定资源的权限,也始终允许访问

我创建了用户并只给了他一个角色。(成员)目前这个角色没有任何 Http 动词或路径的权限。这是我的用户:

现在,当我尝试对地址执行 GET 请求时:http://localhost/parameters/search_tables/ 对此用户没有权限,它仍然允许我访问并重定向我。这是来自 pep 代理的日志:

我关于授权的配置文件是:

我的 Pap 政策是:

我应该如何制定我的 PAP 策略以启用授权级别 2,仅使用 http 动词和资源路径进行授权?

0 投票
1 回答
313 浏览

xml - 在 Fiware AuthZforce 授权服务器中创建域的问题

我正在开发基于 Oauth 2.0 的身份验证/授权方案,使用 Fiware Enablers:Keyrock IdM、Wilma Proxy 和 AuthZforce 授权服务器。

我安装并配置了 Keyrock 和 Wilma,它们一起工作得很好。

在同一台机器上我安装了 AuthZForce。Java OpenJDK 1.7.0_91 和 Tomcat 7 安装在这台机器上的 Ubuntu 14.04 上。

我按照安装指南并使用 gdebi 安装了 AuthZforce,但我实际上无法使用指南中的 curl 命令创建域:

curl --verbose --trace-ascii - --request POST \ --header "Content-Type: application/xml;charset=UTF-8" --data '<?xml version="1.0" encoding="UTF- 8"?><taz:domainProperties xmlns:taz="http://authzforce.github.io/rest-api-model/xmlns/authz/4"> <name>MyDomain</name><description>这是我的域。</description></taz:domainProperties>' --header "Accept: application/xml" http://${MYSERVERHOST}:${MYPORT}/authzforce-ce/domains

我收到以下错误:

<?xml version="1.0" encoding="UTF-8" Standalone="yes"?><ns2:error xmlns:ns2="http://authzforce.github.io/rest-api-model/xmlns/authz /4" xmlns:ns3="http://www.w3.org/2005/Atom" xmlns:ns4="http://authzforce.github.io/core/xmlns/pdp/3.6" xmlns:ns5=" http://authzforce.github.io/pap-dao-file/xmlns/properties/3.6"><message>无效参数:cvc-complex-type.2.4.a:以“名称”开头的无效内容。发现以元素“名称”开头的无效内容。需要一个元素“{description, rootPolicyRef}”。</message></ns2:error>

这似乎是一个 xml 验证错误。我试图访问 AuthZforce API,但程序员指南中的链接给出了 404 错误。

谁能建议如何解决这个问题?

提前致谢。~

0 投票
1 回答
345 浏览

fiware - AuthZForce 安全级别 2:基本授权错误“未为应用程序创建 AZF 域”

我们正在尝试部署我们的安全层(KeyRock、Wilma、AuthZForce)来保护我们的 Orion 实例。

我们能够在 Keyrock 和 Wilma 工作的情况下获得安全级别 1(身份验证),但是当我们尝试插入 AuthZForce 来检查动词+资源授权时,我们会收到错误消息:

未为应用程序创建 AZF 域

PEP 代理用户指南中,在“级别 2:基本授权”部分下,声明我们必须在应用程序中为用户配置角色和权限。我按照Fiware IdM 用户和程序员指南中的步骤创建了我的用户并注册了我的应用程序。我还创建了一个附加规则来完全匹配我试图获取的资源,以保证没有路径错误。

我还可以按照AuthZForce - Installation and Administration Guide中的说明创建域,但我不知道在创建域 ID 时如何将域 ID 与用户角色绑定。我在 IdM GUI 和文档中进行了搜索,但找不到如何操作。

那么,如何在特定域下插入用户/组织/应用程序,然后获得安全级别 2?

更新:

我的 Wima 的 config.js 文件有这个部分:

我的 docker-compose.yml 文件是:

0 投票
1 回答
84 浏览

fiware - AuthZforce 在没有固件启用程序的情况下使用

可以在没有 keyrock 和 wilma 的情况下使用 Fiware enabler AuthZforce 吗?可以使用其他 pep 和 IDM 吗?

0 投票
1 回答
39 浏览

fiware - PEPWilma 配置文件中的域路径

我正在尝试使用 Fiware PEPWilma 和 AuthZForce 来确保我的服务的安全级别 2。

我正在努力设置它,因为我找不到解释如何配置它们的指南/参考材料。甚至他们的指南也缺乏很多信息。

我现在要了解的属性path位于config.azf={}pepwilma 的config.js配置文件中。这个属性期望收到什么?

在示例config.js文件中,我得到的值为:

路径:'/authzforce/domains/v10rvAGjEeaiEQJCrBEAAg/pdp'

但我不知道这条路径是什么以及如何获取我的域 ID。

先感谢您。

0 投票
2 回答
412 浏览

fiware - “未为应用程序创建 AZF 域” AuthZforce

我有一个使用 KeyRock、PEP、PDP(AuthZForce) 的应用程序。

Keyrock 和 PEP 的安全级别 1(身份验证)正在工作,但是当我们尝试使用 AuthZForce 检查授权时,我收到错误消息:

我有我的用户和我按照 Fiware IdM 用户和程序员指南中的步骤创建的应用程序。

我还可以按照 AuthZForce - Installation and Administration Guide 中的说明创建域,但我不知道在创建域 ID 时如何将域 ID 与用户角色绑定。

那么,如何在特定域下插入用户/组织/应用程序,然后获得安全级别 2?

我的 config.js 文件:

我的 docker-compose.yml 文件是:

这个问题与AuthZForce Security Level 2: Basic Authorization error "AZF domain not created for application"相同,但我得到同样的错误,我的 keyrock 版本是 v5.4.0。

0 投票
1 回答
37 浏览

fiware - FIWARE AuthZForce 不检查同一 PolicySet 中的第二条规则

我在 KeyRock 上创建了两个角色,并且为每个角色关联了不同的权限

User1->Role1->Perm1(访问Res1)

User2->Role2->Perm2(访问Res2)

保存后,我在 AuthZforce 的文件系统上看到一个具有 3 个策略的新域。

第一个策略是 cm9vdA/。它有一个 <PolicySet> 、一个 <Policy> 和一个 <Rule Effect="Permit" RuleId="permit-all" /> 最后一个策略有一个 <PolicySet>、两个 <Policy> 和两个规则(每个权限一个) 域的 pdp.xml 包含一个 <policyRef>,它针对最后创建的策略 (<policyRef>331409a9-6014-4cfd-9180-f04bb22481f4</policyRef>)。

下面是策略的 xml 文件。

当 User1 尝试(通过 Wilma PeP 代理)访问 res1 时,匹配为真,条件满足,Decision 为“Permit”。

如果 User1 尝试访问 res2... 决定是“拒绝”。

但....

当 User2 尝试(通过 Wilma PeP 代理)访问 res2 时……决定是“拒绝”。

查看 AuthZforce 的日志文件,我看到 PolicySetId="331409a9-6014-4cfd-9180-f04bb22481f4" 被正确识别,但检查停止到第一条规则。事实上,它将请求的资源“res2”与“res1”进行比较,并拒绝,因为它们不匹配。检查不会继续评估存在“res2”并且比较应该为真的下一个规则。

哪个是问题?

谢谢合作。

0 投票
1 回答
301 浏览

fiware - Fiware AuthZForce 错误:“未为应用程序创建 AZF 域”

我正在尝试使用 KeyRock idm、Wilma PEP-Proxy 和 AuthZForce PDP over Docker 来保护 Orion Context Broker。目前,1 级安全性运行良好,我可以拒绝未登录用户的访问,但在尝试添加 2 级时,我在 Wilma 上收到此错误。

这是我在 Wilma 的 config.js 文件中的 azf 配置:

这就是我在 KeyRock 上设置访问控制配置的方式:

我已经在 Keyrock 上创建了自定义策略,但是 AuthZForce 日志没有显示来自 KeyRock 或 Wilma 的任何请求,因此没有在 PDP 上创建域。我检查了所有容器都可以看到并相互访问,并且所有端口都已启动。我可能缺少一些配置。

这些是我正在使用的版本:

这个问题与“未为应用程序创建 AZF 域”AuthZforce 相同,但即使使用所示的 AuthZForce GE 配置,我的问题仍然存在。

0 投票
1 回答
131 浏览

fiware - AuthzForce 更新策略失败

我正在为一个角色分配权限(仅访问 /resource1)。但是 Keyrock 给我一个错误“无法更新访问控制 GE 中的策略”。

因此,即使我使用具有只能访问资源 1 的权限的访问令牌请求资源 2(不是资源 1),AuthzForce 也会允许访问,因为策略没有更新(可能是其他问题)。

问题是为什么 authzforce 不能更新策略?

现在,我成功地将权限链接到角色(策略更新失败除外),并将角色分配给用户。然后我仔细检查了 Keyrock 和 AuthzForce 的配置。我认为它们连接得很好。

Keyrock 的错误信息

是什么让我认为 AuthzForce 运行良好(当我使用访问令牌向 Wilma 发送访问请求时,这是 Wilma 的成功日志)

请参考上面的图片,以及下面的配置和环境。

我的环境:


安装 AuthzForce 5.4.1 时的错误日志(/var/log/tomcat7/authzforce-ce/error.log)(我使用 AuthzForce 7.0.0 的原因)。我在安装 authzforce-5.4.1 时使用了 openjdk-7 和 tomcat7。