尝试部署与 LDAP 集成的 BOSH Director 并遇到问题。这是我的步骤。

1. 克隆最新的存储库：

git 克隆https://github.com/cloudfoundry/bosh-deployment

2. 创建 vars 文件并填充它。

3. 修改 ldap 的 opsfile

文件：ldap.yml

运行部署脚本：

得到错误：

如果我删除用于 LDAP 集成的 ops 文件（bosh-deployment/ldap.yml）一切正常 - 部署 BOSH、UAA 等。我不明白它为什么会抱怨。UAA 正在 BOSH 中创建工作，我正在一个接一个地传递 opsuaa.yml文件。它应该已经能够在 BOSH 部署中创建 UAA 作业。

有什么提示吗？

非常感谢！！

我最近在我的应用程序中使用 CF-UAA 的 OAuth2，当请求到达我的客户端时，我重定向到 CF-UAA 以生成访问令牌，我可以在其中请求不同的范围。我想知道我们如何限制客户可以要求的范围？CF-UAA 的作用域是可扩展的还是固定的？

提前致谢

我在这里cache-control阅读请求/响应标头。

的定义Cache-Control: No-Store：

The no-store directive means browsers aren’t allowed to cache a response and must pull it from the server each time it’s requested. This setting is usually used for sensitive data, such as personal banking details.

Cloud Foundry UAA 将其用于 JWT 签名验证的公钥存储在https://uaa.my-domain.com/token_keys其cache-control响应标头包含no-store.

这对我来说毫无意义——它们是不需要授权即可获取的公钥。此外，根据上面引用的链接，还有一个ETag响应标头暗示浏览器或客户端将缓存响应。

我正在尝试从这个 GitHub URL https://github.com/raepple/cfsectest.git部署 CF 应用程序作为 OpenSap 课程的一部分。当我进行 maven 全新安装时，我得到了截图中的错误。它告诉它无法下载一些 maven 依赖项。这个问题的任何解决方案？

我想在同一个 cf Org 的空间中共享一个 DB(PostgreSQL) 服务。

我遇到了两个选择

1. 用户提供的服务实例 ( https://docs.cloudfoundry.org/devguide/services/user-provided.html )
2. 共享服务实例（https://docs-cloudfoundry-staging.cfapps.io/devguide/services/sharing-instances.html）

共享服务实例说，它提高了安全性、审计并提供了更直观的用户体验。

谁能更详细地说明两者的优缺点？

遵循本指南：https ://github.com/cloudfoundry/uaa#quick-start

执行“./gradlew run”后的第一个问题它卡在cargoRunLocal。

然后我发现对于某些人来说，像这样改变 build.gradle 行是有效的。发现了一些变化并尝试了所有这些变化，但都没有运气。

然后我注意到默认分支是“develop”，所以我切换到“master”分支但得到了相同的结果。

日志中的一些消息可能有助于理解问题。

1

2

3

额外的事实：Tomcat 服务器启动。去“ http://localhost:8080/uaa/ ”说“失败”

在里面的 env:块下manifest.yml，我们提到了在应用程序上运行的工件版本，然后cf push使用推送应用程序（）manifest.yml

这将帮助 cf 用户获取在 Cloud Foundry 上使用cf env <app_name>每个应用程序的任何应用程序上运行的工件版本。

对于在 cloudfoundry 中运行的所有应用程序，firehosecf env是否可以帮助我们为每个应用程序提供环境（ ）数据？

我正在寻找身份验证服务器解决方案。它需要有 SSO、OpenID Connect 支持和 LDAP 集成可能性。

用户将有 2 个登录选项，使用他们的 LDAP 帐户或使用基于 OpenID 连接协议的外部服务。

到目前为止，我已经安装了 Keycloak，阅读了所有文档，将它与 LDAP 集成并制作了一个小应用程序来测试它。

我还研究了 CloudFoundry UAA 文档，并尝试使用该解决方案做一些事情。

目前我倾向于使用 Keycloak，但 UAA 似乎也不错。在做出决定之前，我还可以研究什么？它将用于非常大的组织。

我想知道当主要浏览器默认禁用 3rd 方 cookie 时，如何在 2019 年处理 Oauth2 隐式授权流程中的刷新令牌。

一些细节：

当前设置：

• UI SPA 应用下ui.example.com

• 身份提供者（CloudFoundry 的 UAA）下uaa.api.example.com

设想：

• 当用户登录时，身份提供者使用域的用户详细信息设置 cookie，uaa.api.example.com并在重定向的标头中返回 JWT Location。

• JWT 存储在本地存储中（for ui.example.com），但它的有效期仅为 1h，所以我想刷新它。

• 通过发送到 IDP 授权端点的查询参数可以刷新prompt=none（过程在Auth0 指南中有很好的描述（它不是 UAA，但流程是相同的）

• 在每 20m 的隐藏 iframe 中创建 src 设置为uaa.api.exmaple.com/oauth/authorize?prompt=none的内容，无需用户提供凭据即可开始登录过程。当流程结束时，响应中返回的新 JWT 会再次存储在本地存储中。

问题：

• 当允许第三方 cookie 时，浏览器会将 IDP 的 cookie 添加到 iframe 发出的请求中，因此流程可以正常工作，并且我会在响应中获得新的令牌。

• 在浏览器设置中禁用第三方 Cookie 时，iframe 无法访问其自己的 Cookie，因此login_required会返回错误而不是新的 JWT。无法通过 iframe 访问 cookie 使令牌更新无法使用

问题：

我的 3rd 方 cookie 问题有什么解决方案吗？

如果没有，我可以使用隐式授予流程和 SPA 的替代方法来登录和刷新令牌吗？

我尝试只使用没有 cf 的 UAA 服务和其他服务。使用快速入门，我已经在 Cent OS 7 的 vmware vSphere 虚拟机上安装了 UAA 服务。我将主机名设置为 vm。我使用以下方法运行它：

我可以访问它，但如果我尝试获取 SP saml 元数据，它会使用位置“ localhost ”生成它

同时，如果我执行 uaac 上下文，我会得到正确的地址

如何正确配置 uaa.yml 以便获得正确的 sp 元数据？我找不到有关 uaa.yml 的信息。或者如果没有整个 CloudFoundry 服务，就无法配置此服务？