问题标签 [cloudfoundry-uaa]

请问能不能用Cloud Foundry的UAA来管理非平台用户（npu）？

例如，我有一个业务应用程序，只有具有凭据的 npu 才能访问 rest-api 或应用程序的网站。

所以我的意思是 npu，那些不直接在平台上工作的用户。npu 将仅访问在云代工厂上运行的自定义自开发应用程序作为软件即服务，而非云代工厂的 api，如云控制器。

我正在使用来自 sap 云平台的云代工产品，并且在关于开放 sap 的一门课程中（https://open.sap.com/courses/cp1-2，第 5 单元：保护 Cloud Foundry 应用程序 - 第一部分）他们解释说，Cloud Foundry UAA 只照顾开发人员和管理员等平台用户。

所以他们告诉你，你必须使用特定的 SAP Cloud Platform Cloud Foundry 功能，才能使用 Cloud Foundry 进行 npu 管理。

但是是否有可能使用 Cloud Foundry 的核心功能进行 npu 管理，这样我就不会依赖于 SAP Cloud Platform 特定的 Cloud Foundry 功能？

长文本，但这是我的问题。

我期待着您的回答。

问候马弗林

在云代工中，我如何获得 client_id 和 client_secret 代码。

这将用于基本身份验证，而不是为各个 api 调用传递用户和密码

我尝试按照https://github.com/cloudfoundry/uaa中的说明进行操作，即克隆 github 存储库，然后执行gradlew run命令。我在安装了 Java 1.8 的 Windows 10 系统上运行它。但是，我在 gradlew run 执行的大约 97% 时遇到了以下错误。

org.codehaus.cargo.container.ContainerException：可部署 [ http://localhost:8080/cargocpc/index.html]未能在超时期限 [120000] 内完成部署。因此，可部署状态是未知的。
:cargoRunLocal FAILED
:cargoRunLocal 耗时 164921 毫秒
FAILURE: Build failed with an exception。

我是 Java 生态系统的新手，我不确定问题是什么。我试图寻找增加超时时间，这似乎是对该问题的初步观察。我不确定在哪里执行此操作。我不知道问题是否来自完全不同的原因。

任何建议都会有所帮助

解码 UAA jwt 令牌后，我可以看到范围内的一些组已经存在于 UAA 的 yml 文件中。但我看不到手动创建的组。

是否可以从 jwt 令牌中获取我创建的组？

使用命令 cf oauth-token 时，cli 会通过联系 UAA 服务器为我们获取 oauth 令牌。我想知道 cli 为此目的使用了哪些客户端凭据？是否有任何预装凭据可用于向 /token 端点发出请求。

例如，在 Pivotal 上尝试 Elefant SQL 或 Redis 服务：您可以创建多个具有不同名称的服务密钥，但它们包含相同的秘密。

我原以为在创建不同的密钥时，我可以独立地撤销它们。这仅适用于某些服务吗？

将两个UAA实例配置为联合后，比如UAA1（依赖方）--uses--> UAA2（ID提供者）通过OIDC机制，我可以使用UAA1通过身份验证码工作流程对UAA2上定义的用户进行身份验证。UAA1 在其实例中定义影子用户，但它不捕获为 UAA2 上的用户定义的组。

例如，user1_uaa2 在 UAA2 上，属于名为 uaa.test 的组。通过 UAA1 登录后，在 UAA1 中创建了一个影子用户 user1_uaa2，但其组信息丢失。

在基于 OIDC 的 UAA 联合中，如何将用户的组信息传播回依赖方？

谢谢

假设我有几个客户：公司 x、y、z。这些公司中的每一个都有他们的员工和他们的 SSO（主要是 SAML，但也可以是 OpenId 或其他任何东西）。

我希望能够与他们的 SSO 集成，以便他们无需提供凭据即可登录我的应用程序。类似于 cloudfoundry UAA 之类的东西。我应该使用哪一个：AWS SSO 或 AWS Cognito？有什么不同？

当我在 nGrinder（在 Eclipse 中用 Groovy 编写的脚本；Eclipse 与 Groovy 插件集成）中为 URL 编写重定向脚本时遇到了一个问题：https://winterfell-sbo-sbo-test-cso-web-mta.cfapps .sap.hana.ondemand.com/sites 附件是 Eclipse 日志（第 #11、#12、#13 页）供您参考，以下是对该问题的解释。

步骤#1 我在https://winterfell-sbo-sbo-test-cso-web-mta.cfapps.sap.hana.ondemand.com/sites上发出 HTTP GET 请求。这会自动跟随重定向，然后登陆登录页面：https ://winterfell.authentication.sap.hana.ondemand.com/login

步骤#2 我在' https://winterfell.authentication.sap.hana.ondemand.com/saml/discovery?returnIDParam=idp&entityID=winterfell.canary&idp=winterfell-metadata&isPassive=true上触发另一个 HTTP GET 请求 这不会自动重定向到“位置”标题 - > https://winterfell.authentication.sap.hana.ondemand.com/saml/login/alias/winterfell.canary?disco=true&idp=xs2security.accounts400.ondemand.com

有关更多信息，请参阅屏幕截图。

相反，它被重定向到https://winterfell.authentication.sap.hana.ondemand.com/login 我们试图为https://authentication.sap.hana.ondemand.com/的 GET 请求捕获并设置 csrf cookie saml/discovery?returnIDParam=idp&entityID=winterfell.canary&idp=winterfell-metadata&isPassive=true -> 但它仍然没有按预期工作

同事能够在 JMeter 中完成这项工作。所以我们试图通过将“followRedirects”设置为 true 在 nGrinder 中模拟这一点，但它没有按预期工作。

由于在第 2 步中，它没有获取响应标头的位置并重定向回“/login”页面，这种行为的可能原因是什么？

我们检查了 xsuaa 是否工作正常。在 Postman 中执行请求时，一切都按预期工作。卷曲效果很好。

我一直在深入研究 OAuth2 / OpenID Connect(OIDC)，在很多方面我都觉得自己更聪明，但在很多方面，我担心一个简单的错误会让我变得脆弱。我正在构建超标准的商业应用程序。所以是时候问路了：

• 平台：Pivotal Cloud Foundry / UAA
• 后端：Spring Boot 1.5.x（但现在看 2.0）
• 前端：反应 SPA
• OAuth2：授权代码授权与openid范围

我得到id_token, access_token, 和refresh_token

我有一百万个问题，但让我们从基础开始：

1. 可以接受id_token并将其发送到浏览器中的反应代码并将其存储在会话存储中吗？否则，UI 究竟应该如何知道有关登录者的信息？

2. 如果我有id_token，我还关心/userinfo端点吗？我的猜测是否定的。

3. 每次 UI 调用 api 时，它都会传递身份验证代码？spring 代码是否会依次调用/oauth/token每次？Spring 代码是否应该（或是否）缓存 auth 代码和返回的令牌之间的关系？