问题标签 [fiware-keyrock]

问题总结：如何让 FIWARE IdM Keyrock 和 FIWARE Authzforce 正确设置 AZF 域，从而不会得到“AZF domain not created for application XYZ”响应？

我正在尝试正确配置具有 FIWARE Orion、FIWARE PepProxy Wilma、FIWARE IdM Keyrock、FIWARE Authzforce 的服务器。我到达了前 3 个组件正常工作并相互交互的地步，但现在我正在尝试插入自动化并且我收到以下错误： AZF domain not created for application. 我已经尝试了以下链接中提供的所有解决方案，但没有一个有效：

• https://fiware-pep-proxy.readthedocs.io/en/latest/user_guide/#level-2-basic-authorization
• https://www.youtube.com/watch?v=coxFQEY0_So
• 如何配置 Fiware PEP WILMA 代理以在我自己的服务器上使用 Keyrock 和 Orion 实例
• Fiware IDM+AuthZForce+PEP-Proxy-Wilma
• Fiware - 如何将 PEP 代理连接到 Orion 并使用 HTTPS 进行配置？
• Fiware AuthZForce 错误：“未为应用程序创建 AZF 域”
• AuthZForce 安全级别 2：基本授权错误“未为应用程序创建 AZF 域”
• https://www.slideshare.net/daltoncezane/integrating-fiware-orion-keyrock-and-wilma
• “未为应用程序创建 AZF 域” AuthZforce
• Fiware AuthZForce 错误：“未为应用程序创建 AZF 域”
• 适用于固件的组件
• https://www.slideshare.net/FI-WARE/adding-identity-management-and-access-control-to-your-app-70523086
• 官方文档不可用，因为指的是（可能）旧的 Python 版本的 IdM

在下面，您可以找到重现我的场景的说明：

1. 使用 Docker 容器安装 Orion

   • 在您的系统上创建一个工作目录（例如，/home/fiware-orion-docker）。
   • 在您的目录中创建一个名为的新文件docker-compose.yml，其中包含以下内容：
   • 注意：没有 DNS，它永远不会发送通知！！！

   • 注意 2（来源）：来自 docker 容器的连接被路由到（iptables）FORWARD 链中，这需要配置为允许通过它进行连接。默认是 DROP 连接。因此，如果您使用防火墙，则必须对其进行更改：

     • sudo nano /etc/default/ufw
     • 将 DEFAULTFORWARDPOLICY 设置为“接受”。 DEFAULT_FORWARD_POLICY="ACCEPT"
     • 保存文件。
     • 重新加载ufw sudo ufw reload
   • 在您创建的目录中，在命令行中键入以下命令：sudo docker-compose up -d.
   • 几秒钟后，您应该让 Context Broker 运行并在 port 上侦听1026。
   • 检查一切是否正常
     curl localhost:1026/version

2. 安装 FIWARE IdM Keyrock（用于通过 Orion Context Broker 进行身份验证）：
   https ://github.com/ging/fiware-idm

   • 警告 -1：（如果下一个命令不起作用 sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu artful stable"：）
   • 警告 0：如果你有防火墙：禁用它，否则 docker-compose 将不起作用
   • sudo apt-get install docker-compose
   • mkdir fiware-idm
   • cd fiware-idm
   • 创建 docker-compose.yml nano docker-compose.yml
   • sudo docker-compose up -d（这将自动下载两个图像并运行 IdM Keyrock 服务。（-d 用于在后台运行它））。
   • 现在您应该可以通过网站http://localhost:3000访问身份管理工具了
     • 用户名：admin@test.com
     • 密码：1234
   • 注册新用户并通过界面启用
   • 然后使用 GUI 执行以下操作：
     • 创建一个“组织”（例如，ORGANIZ1）
     • 创建一个“应用程序”
       • 步骤1： /li>
       • 第 2 步：留空
       • 第三步：选择“提供者”
       • 第4步：
         • 点击“OAuth2 Credentials”并记下“Client ID”（94480bc9-43e8-4c15-ad45-0bb227e42e63）和“Client Secret”（4f6ye5y7-b90d-473a-3rr7-ea2f6dd43246）
         • 单击“PEP 代理”，然后单击“注册新的 PEP 代理”
         • 记下“应用程序 ID”(94480bc9-43e8-4c15-ad45-0bb227e42e63)、“Pep 代理用户名”(pep_proxy_dad356d2-dasa-4f95-a9hf-9ab06tccf929) 和“Pep 代理密码”(pep_proxy_a33667ec-57y1-498k-8 -ef77ue5f6234)
         • 单击“授权”（用户）并授权所有现有用户具有两个角色（所有选项的购买者和提供者）
         • 单击“授权”（组织）并授权具有这两个角色的所有现有组织（所有选项的购买者和提供者）

3. 安装 FIWARE Authzforce

   • sudo docker pull authzforce/server:latest（在撰写本文时最新版本为 8.1.0）
   • sudo docker run -d -p 8085:8080 --name authzforce_server authzforce/server

4. 安装 FIWARE PEP 代理 Wilma（用于为 Orion 启用 https 和身份验证）：

   • git 克隆https://github.com/ging/fiware-pep-proxy.git
   • cd fiware-pep-proxy
   • cp config.js.template config.js
   • 纳米配置.js
   • 安装所有依赖项 npm install
   • 运行代理 sudo node server

5. 创建用户角色：重新连接到 IdM http://localhost:3000：

   • 单击您的应用程序
   • 点击Manage rules页面顶部的
   • 单击+角色附近的按钮
     • 名称：《审判》
   • 节省
   • 单击+权限附近的按钮
     • 权限名称：trial1
     • 说明：试用1
     • HTTP 操作：GET
     • 资源：版本
   • 节省
   • 回到应用程序
   • 点击“授权用户”附近的“授权”
   • 将“试用”角色分配给您的用户

6. 现在使用 PostMan 获取令牌：

   • 连接到 localhost:3000/oauth2/token 并发送以下参数
     • 身体：
     • 用户名：
     • 密码：
     • 授予类型：密码
     • 标题：
     • 内容类型：application/x-www-form-urlencoded
     • 授权：基本
   • 记下获得的access_token

7. 尝试使用以下参数通过http://localhost:5056/version连接到 Orion：

   • 标题：
     • X-授权令牌：

8. 您将获得以下响应： AZF domain not created for application 91180bc9-43e8-4c14-ad45-0bb117e42e63

我想在 fiware idm 上触发对隐式授权类型的 curl 请求。我已经浏览了fiware idm的官方文档-

https://fiware-idm.readthedocs.io/en/latest/oauth/oauth_documentation/index.html

fiware idm 中存在隐式授权类型，但在发出 curl 请求时会引发以下错误：

我的卷曲请求如下：

有人知道吗？

我注意到当您要删除一个组织时，docu 中的建议请求是这个（在ORGANIZATION CRUD ACTIONS中的DELETE AN ORGANIZATION小节）：

其中不包括X-Auth-token作为标题的一部分。

这会导致安全问题（允许任何人删除任何组织）吗？

我一直在努力解决这个问题，并想知道是否其他人也有同样的问题。

正如 FIWARE 教程所建议的那样，我有一个使用docker 运行的Keyrock 7.8.0 + MySQL 架构。我可以通过 localhost:3005 访问 GUI 和 API。一切似乎都可以通过带有管理员用户的 GUI 正常工作，但是在使用 admin Auth-Token向用户授予角色时

或组织，

它只是在正文中响应此错误：

任何人都知道同一个用户如何有权通过 GUI 而不是通过 API 做某事？

我无法在现有文档中找到此信息- 永久或非永久令牌。

使用 Keyrock 7.8、Ultralight 1.11.0（尽管任何当前代理都可以）

设置以下 Docker 参数：

镜像中使用了默认的 Docker 配置，因此不会创建配置组类型。

我能够提供一个受信任的组，如下所示：

问题 1 - 如何在 Keyrock 中生成信任令牌。

当我配置设备时

我在 IoT 代理中收到以下错误：

Keyrock 日志中的以下内容：

问题2：需要提供哪些额外信息？

我创建了一个 docker-compose 文件来部署我的 FIWARE 堆栈。该堆栈包括使用以下子网连接的 keyrock 和 Mysql BD：

我创建了该子网，因为在 keyrock 文档中说 keyrock 使用以下 ip：172.18.1.5

我想更改那个 keyrock IP 并更改子网。如何更改子网？如果我更改子网和 keyrock 和 mysql 默认 IP，它们之间就没有连接。

我刚刚开始按照文档尝试Authzforce Fiware。我使用提供的 RESTful 接口按照给出的示例制作了一些 RBAC 场景。

我想知道的是，是否存在用于管理策略管理部分（创建、编辑、删除策略等）的用户界面。

据此_

Authzforce 本身不提供 UI，也不关心 XACML 策略的生成和管理——它假定它接收到的每个策略都已经由另一个组件生成。成熟的 XACML 编辑器可用，但 Keyrock 中的有限编辑器通常足以满足大多数访问控制场景。

内部不存在任何内置的 UI 解决方案，Authzforce并建议作为此处提出的Keyrock解决方案。

我说对了吗？任何人都可以向我提供有关我可能Keyrock与现有集成的方式的任何指导方针，Authzforce PAP以便我可以从它的编辑器中管理我的策略吗？

提前致谢。

重要提示：我需要使用 Docker Swarm（没有 docker-compose）来部署它。

我创建了一个 docker-compose 文件以部署我的 FIWARE 堆栈。该堆栈包括使用以下子网连接并为组件分配静态 IP 的 keyrock 和 Mysql BD：

问题在于，使用 FIWARE 文档，无法使用 docker swarm v3 部署它，因为无法为 FIWARE 组件分配静态 IP。

您能否举一个使用 docker swarm v3 部署它的示例？

我们正在使用 docker-compose 部署 Synchronicity ( https://gitlab.com/synchronicity-iot/platform-deployment-docker/-/tree/master/manual )，并使用配置文件附带的所有默认值。现在我们面临 IdM Keyrock 和 PEP 代理 Wilma Plus（文件 compose-sec-pep.yml 中称为 pep-cb 的服务）之间的通信错误。我们在 Keyrock 中注册了一个新应用程序，以确保 Orion Context Broker 的安全，并使用客户端 ID 和客户端密钥（使用 base64 编码）我们得到一个用于授权 HEADER 的值：

我们注册的这个应用程序只是为了获得一个客户端 ID 和一个秘密 ID，以便让这个授权绕过 Wilma（在端口 7000 上运行）到 Orion 上下文代理（在端口 1026 上运行）。所以，现在我们有了一个 TOKEN（让我们将其命名为：X-Access-token），如果我们尝试这样做：

我们总是得到响应：IDM 通信错误。我们陷入了这个错误。您能否帮助我们或告诉我们我们做错了什么？

非常感谢。

问候，

猜猜我们在 Docker 中部署了多个 Fiware Generic Enabler。

我想为每个服务使用一个 pep 代理来保护这些服务。

是否可以注册我的应用程序并使用 Idm Keyrock 提供的相同凭据部署多个 pep 代理。

或者我必须为每个微服务注册一个应用程序并使用自己的凭据创建一个不同的 pep 代理？