问题标签 [fiware-wilma]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
fiware - Fiware AuthZForce 错误:“未为应用程序创建 AZF 域”
我正在尝试使用 KeyRock idm、Wilma PEP-Proxy 和 AuthZForce PDP over Docker 来保护 Orion Context Broker。目前,1 级安全性运行良好,我可以拒绝未登录用户的访问,但在尝试添加 2 级时,我在 Wilma 上收到此错误。
这是我在 Wilma 的 config.js 文件中的 azf 配置:
这就是我在 KeyRock 上设置访问控制配置的方式:
我已经在 Keyrock 上创建了自定义策略,但是 AuthZForce 日志没有显示来自 KeyRock 或 Wilma 的任何请求,因此没有在 PDP 上创建域。我检查了所有容器都可以看到并相互访问,并且所有端口都已启动。我可能缺少一些配置。
这些是我正在使用的版本:
这个问题与“未为应用程序创建 AZF 域”AuthZforce 相同,但即使使用所示的 AuthZForce GE 配置,我的问题仍然存在。
oauth-2.0 - FIWARE-Keyrock:如果应用程序不控制访问,为什么 OAuth2 凭据与应用程序相关?
我们有一个场景,我想用 Wilma PEP 代理保护服务 X。服务 X 在 Keyrock 中注册。Wilma PEP 代理包含在 Keyrock 中为服务 X 生成的 PEP 凭据。应用程序 Y 可以使用为该特定服务生成的正确 OAuth2 凭据(来自服务 X 的 client_id 和 client_secret)访问服务 X。没关系。但是有一个问题:应用程序 Z 也可以使用不同的 OAuth2 凭据(不是服务 X 凭据)访问服务 X!
如果这是可能的,为什么我们在 Keyrock 中生成具有特定 OAuth2 凭据的应用程序,如果它们不控制任何东西?!它没有任何意义!
这是一个很大的安全问题,因为一个入侵者可以在 Keyrock 中注册一些应用程序,并且使用为这个特定应用程序生成的令牌(使用它自己的 OAuth2 凭据),这个入侵者可以访问在这个 Keyrock 实例中注册的所有应用程序!
authorization - Keyrock中生成的角色并没有真正注册
我正在为 Keyrock 中的应用程序创建权限并将其与用户 A 相关联。当我向 orion v2/entities 发出 GET 请求(等于创建的权限)时,我收到一条User token not authorized消息。在 PEP 日志中,我可以看到该角色未与用户关联:
这真的很奇怪,因为我为用户 A 添加了包含特定权限的角色。
有人能帮忙吗?我究竟做错了什么?
authorization - Wilma和AZF中的魔法钥匙有什么作用?
我想知道在 Wilma PEP Proxy 以及 AZF 中魔术键参数的实际用途。这在两种配置中都是强制性的吗?如果没有,我们什么时候需要使用它?
我看到这里描述了与之相关的错误
fiware - Fiware Keyrock - 组织不归还
我需要来自特定用户的组织信息。此信息不会返回,如下所示:
我得到一个空的组织列表。甚至组织的所有者也会收到一个空列表。
这是一个错误吗?我们可以做些什么来获取这些信息?
在我的本地实例中,我只需完成本教程的第 7 步:
我继续这个问题,等待一些帮助......
fiware - Fiware: How to restrict user access to specific entity for Orion Context Broker API using keystone & keypass
First of all, I'm using the Telefonica implementations of Identity Manager, Authorization PDP and PEP Proxy, instead of the Fiware reference implementations which are Keyrock, AuthZForce and Wilma PEP Proxy. The source code and reference documentation of each component can be found in the following GitHub repos:
- Telefonica keystone-spassword:
GitHub /telefonicaid/fiware-keystone-spassword
- Telefonica keypass:
GitHub /telefonicaid/fiware-keypass
- Telefonica PEP-Proxy:
GitHub /telefonicaid/fiware-pep-steelskin
Besides, I'm working with my own in-house installation of the components, NO Fi-Lab. In addition to security components, I've an IoT Agent-UL instance and an Orion Context Broker instance.
Starting from that configuration, I've created a domain in keystone (Fiware-Service) and a project inside the domain (Fiware-ServicePath). Then I've one device connected to the platform, sendding data to the IoT Agent behind the PEP Proxy. The whole device message is represented as a single Entity in Orion Context Broker.
So, the question is:
How can I restrict a specific keystone user to access only to the entity associated to this device, at the level of the Orion Context Broker API?
I know that I can allow/deny user acces to specific API via keystone Roles and XACML Policies but that implies that I should create one Policy per User-Device pair.
I could use some help with this, to know if I'm on the right way.
fiware - FIWARE - 是否有一些 Cryptographic GE 或具有这种功能的 GE?
我想知道 Fiware 目录中是否只有 Security GE。具体来说,我对一个可以执行加密功能的组件感兴趣,例如生成和提供密钥对、加密、解密等。
如果答案是否定的,我该如何为此建议/实施一个 GE?
authorization - 如何使用 Wilma PEP 代理和 IdM Keyrock 在 Orion NGSI API 中配置访问控制以进行租户隔离?
我想在 Orion Context Broker NGSI API 级别提供访问控制,以确保真正的数据隔离。我想确保租户只能查询/更新他们的上下文,而不是另一个租户的上下文。
为此,我开始在 Orion Context Broker 前面放置一个Wilma PEP 代理实例。然后我基于官方IdM Keyrock docker镜像配置了我自己的 Identity Manager keyrock GE 实例,并基于官方AuthzForce docker 镜像配置了我自己的 Authorization PDP GE 。
经过几天的配置和多次尝试,我终于可以让这三个安全通用启动器正常工作,使用PEP 代理级别 2对 Orion Context Broker NGSI API 的请求进行身份验证和授权。
但是,2 级授权不足以确保我想要什么,因为服务(租户)和子服务(应用程序路径)信息都在请求的标头中。特别是在 Fiware-Service 和 Fiware-ServicePath 标头中。为了构建基于标头的授权策略,您需要使用级别 3:XACML 授权。
问题是我在 Fiware 的官方文档中进行了一些挖掘,但我找不到任何 XACML 策略的示例。除了 Wilma PEP Proxy 的官方文档(请参阅此处)说,您可能必须修改 PEP Proxy 源代码才能获得此级别的授权。
由于这种情况被认为是检查请求的高级参数,例如正文或自定义标头,因此这取决于具体的用例。因此,程序员应该修改 PEP 代理源代码以包含特定要求。
这有可能吗?
我真的需要修改 PEP 代理源代码来实现租户只能访问他的数据这样简单的事情吗?
fiware - FIWARE AuthZForce 5.4.1 未安装
我正在尝试按照官方文档安装 FIWARE AuthZForce 5.4.1,但没有成功,因为 Tomcat7 在安装过程中没有启动,如下所示。
还有另一种安装 AuthZForce 的方法吗?文档很差。由于未正确安装 AuthZForce,我收到了众所周知的“未为应用程序创建 AZF 域”消息,如下所述:
Fiware AuthZForce 错误:“未为应用程序创建 AZF 域”
任何人都可以帮助解决这个问题吗?
fiware - Fiware IDM+AuthZForce+PEP-Proxy-Wilma
我正在尝试使用 IDM+AuthZForce+PEP-Proxy-Wilma 来保护 Orion 上下文代理,但我遇到了一些麻烦,没有任何效果,一切都已启动并运行,但没有 autentication 并且没有安全。
我更改了所有配置文件,但没有任何改变。我尝试填充数据库(mongoDB 或 PostgreSQL),也没有任何改变。所有服务都在 docker-compose 实例中运行。Anyonce已经成功部署了这个?