问题标签 [authzforce]

如何在 Cosmos 中使用 AuthZForce？Cosmos 的配置如何使用 AuthZForce？

我创建了用户并只给了他一个角色。（成员）目前这个角色没有任何 Http 动词或路径的权限。这是我的用户：

现在，当我尝试对地址执行 GET 请求时：http://localhost/parameters/search_tables/ 对此用户没有权限，它仍然允许我访问并重定向我。这是来自 pep 代理的日志：

我关于授权的配置文件是：

我的 Pap 政策是：

我应该如何制定我的 PAP 策略以启用授权级别 2，仅使用 http 动词和资源路径进行授权？

我正在开发基于 Oauth 2.0 的身份验证/授权方案，使用 Fiware Enablers：Keyrock IdM、Wilma Proxy 和 AuthZforce 授权服务器。

我安装并配置了 Keyrock 和 Wilma，它们一起工作得很好。

在同一台机器上我安装了 AuthZForce。Java OpenJDK 1.7.0_91 和 Tomcat 7 安装在这台机器上的 Ubuntu 14.04 上。

我按照安装指南并使用 gdebi 安装了 AuthZforce，但我实际上无法使用指南中的 curl 命令创建域：

curl --verbose --trace-ascii - --request POST \ --header "Content-Type: application/xml;charset=UTF-8" --data '<?xml version="1.0" encoding="UTF- 8"?><taz:domainProperties xmlns:taz="http://authzforce.github.io/rest-api-model/xmlns/authz/4"> <name>MyDomain</name><description>这是我的域。</description></taz:domainProperties>' --header "Accept: application/xml" http://${MYSERVERHOST}:${MYPORT}/authzforce-ce/domains

我收到以下错误：

<?xml version="1.0" encoding="UTF-8" Standalone="yes"?><ns2:error xmlns:ns2="http://authzforce.github.io/rest-api-model/xmlns/authz /4" xmlns:ns3="http://www.w3.org/2005/Atom" xmlns:ns4="http://authzforce.github.io/core/xmlns/pdp/3.6" xmlns:ns5=" http://authzforce.github.io/pap-dao-file/xmlns/properties/3.6"><message>无效参数：cvc-complex-type.2.4.a：以“名称”开头的无效内容。发现以元素“名称”开头的无效内容。需要一个元素“{description, rootPolicyRef}”。</message></ns2:error>

这似乎是一个 xml 验证错误。我试图访问 AuthZforce API，但程序员指南中的链接给出了 404 错误。

谁能建议如何解决这个问题？

提前致谢。~

我们正在尝试部署我们的安全层（KeyRock、Wilma、AuthZForce）来保护我们的 Orion 实例。

我们能够在 Keyrock 和 Wilma 工作的情况下获得安全级别 1（身份验证），但是当我们尝试插入 AuthZForce 来检查动词+资源授权时，我们会收到错误消息：

未为应用程序创建 AZF 域

在PEP 代理用户指南中，在“级别 2：基本授权”部分下，声明我们必须在应用程序中为用户配置角色和权限。我按照Fiware IdM 用户和程序员指南中的步骤创建了我的用户并注册了我的应用程序。我还创建了一个附加规则来完全匹配我试图获取的资源，以保证没有路径错误。

我还可以按照AuthZForce - Installation and Administration Guide中的说明创建域，但我不知道在创建域 ID 时如何将域 ID 与用户角色绑定。我在 IdM GUI 和文档中进行了搜索，但找不到如何操作。

那么，如何在特定域下插入用户/组织/应用程序，然后获得安全级别 2？

更新：

我的 Wima 的 config.js 文件有这个部分：

我的 docker-compose.yml 文件是：

可以在没有 keyrock 和 wilma 的情况下使用 Fiware enabler AuthZforce 吗？可以使用其他 pep 和 IDM 吗？

我正在尝试使用 Fiware PEPWilma 和 AuthZForce 来确保我的服务的安全级别 2。

我正在努力设置它，因为我找不到解释如何配置它们的指南/参考材料。甚至他们的指南也缺乏很多信息。

我现在要了解的属性path位于config.azf={}pepwilma 的config.js配置文件中。这个属性期望收到什么？

在示例config.js文件中，我得到的值为：

路径：'/authzforce/domains/v10rvAGjEeaiEQJCrBEAAg/pdp'

但我不知道这条路径是什么以及如何获取我的域 ID。

先感谢您。

我有一个使用 KeyRock、PEP、PDP(AuthZForce) 的应用程序。

Keyrock 和 PEP 的安全级别 1（身份验证）正在工作，但是当我们尝试使用 AuthZForce 检查授权时，我收到错误消息：

我有我的用户和我按照 Fiware IdM 用户和程序员指南中的步骤创建的应用程序。

我还可以按照 AuthZForce - Installation and Administration Guide 中的说明创建域，但我不知道在创建域 ID 时如何将域 ID 与用户角色绑定。

那么，如何在特定域下插入用户/组织/应用程序，然后获得安全级别 2？

我的 config.js 文件：

我的 docker-compose.yml 文件是：

这个问题与AuthZForce Security Level 2: Basic Authorization error "AZF domain not created for application"相同，但我得到同样的错误，我的 keyrock 版本是 v5.4.0。

我在 KeyRock 上创建了两个角色，并且为每个角色关联了不同的权限

User1->Role1->Perm1(访问Res1)

User2->Role2->Perm2(访问Res2)

保存后，我在 AuthZforce 的文件系统上看到一个具有 3 个策略的新域。

第一个策略是 cm9vdA/。它有一个 <PolicySet> 、一个 <Policy> 和一个 <Rule Effect="Permit" RuleId="permit-all" /> 最后一个策略有一个 <PolicySet>、两个 <Policy> 和两个规则（每个权限一个) 域的 pdp.xml 包含一个 <policyRef>，它针对最后创建的策略 (<policyRef>331409a9-6014-4cfd-9180-f04bb22481f4</policyRef>)。

下面是策略的 xml 文件。

当 User1 尝试（通过 Wilma PeP 代理）访问 res1 时，匹配为真，条件满足，Decision 为“Permit”。

如果 User1 尝试访问 res2... 决定是“拒绝”。

但....

当 User2 尝试（通过 Wilma PeP 代理）访问 res2 时……决定是“拒绝”。

查看 AuthZforce 的日志文件，我看到 PolicySetId="331409a9-6014-4cfd-9180-f04bb22481f4" 被正确识别，但检查停止到第一条规则。事实上，它将请求的资源“res2”与“res1”进行比较，并拒绝，因为它们不匹配。检查不会继续评估存在“res2”并且比较应该为真的下一个规则。

哪个是问题？

谢谢合作。

我正在尝试使用 KeyRock idm、Wilma PEP-Proxy 和 AuthZForce PDP over Docker 来保护 Orion Context Broker。目前，1 级安全性运行良好，我可以拒绝未登录用户的访问，但在尝试添加 2 级时，我在 Wilma 上收到此错误。

这是我在 Wilma 的 config.js 文件中的 azf 配置：

这就是我在 KeyRock 上设置访问控制配置的方式：

我已经在 Keyrock 上创建了自定义策略，但是 AuthZForce 日志没有显示来自 KeyRock 或 Wilma 的任何请求，因此没有在 PDP 上创建域。我检查了所有容器都可以看到并相互访问，并且所有端口都已启动。我可能缺少一些配置。

这些是我正在使用的版本：

这个问题与“未为应用程序创建 AZF 域”AuthZforce 相同，但即使使用所示的 AuthZForce GE 配置，我的问题仍然存在。

我正在为一个角色分配权限（仅访问 /resource1）。但是 Keyrock 给我一个错误“无法更新访问控制 GE 中的策略”。

因此，即使我使用具有只能访问资源 1 的权限的访问令牌请求资源 2（不是资源 1），AuthzForce 也会允许访问，因为策略没有更新（可能是其他问题）。

问题是为什么 authzforce 不能更新策略？

现在，我成功地将权限链接到角色（策略更新失败除外），并将角色分配给用户。然后我仔细检查了 Keyrock 和 AuthzForce 的配置。我认为它们连接得很好。

Keyrock 的错误信息

是什么让我认为 AuthzForce 运行良好（当我使用访问令牌向 Wilma 发送访问请求时，这是 Wilma 的成功日志）

请参考上面的图片，以及下面的配置和环境。

我的环境：

安装 AuthzForce 5.4.1 时的错误日志（/var/log/tomcat7/authzforce-ce/error.log）（我使用 AuthzForce 7.0.0 的原因）。我在安装 authzforce-5.4.1 时使用了 openjdk-7 和 tomcat7。