问题标签 [identity-management]

2015 年，您所在的公司在设计 REST API / Web 服务时提供最高安全级别的做法是什么？

请在考虑身份管理的情况下回答。

例如 - 您还在数据库中使用哈希作为密码吗？我相信你们中的许多人都在安全级别非常重要的公司工作。如果您能分享您目前的经验，我将不胜感激。

如果这很重要，我们希望将 .NET 5 与他们最新的 Web Api 一起使用。

编辑 基于意见？我问的是人们现在用什么来保护他们的服务，没有什么可以基于意见的。

我正在做一个 FIM 2010R2 同步引擎项目，我将 AD 用户导入 FIM 并将一些信息导出到 SQL 表。我已经编写了配置代码，它工作正常。

这是我的目标 SQL 表。

在 SQL 的 FIM 管理代理上，我将 MemberDN 设置为锚点。这意味着我只能从配置代码中写入，而不能将广告用户的专有名称直接传递给它。

但是，在广告用户信息登陆 SQL 后，如果该广告用户在广告中被重命名或移动，它的 distinctName 会发生变化。当我重新导入这些更改时，我希望 FIM 能够更新 MemberDN 列。由于我不能为此设置流规则（因为它说 MemberDN 是只读的），所以当我满足 mvobject 的以下条件时，我尝试从配置代码中执行以下操作。

功能是：

基本上我正在做的是检查是否发生了重命名，否则它将在每次运行同步运行配置文件时为每个 mvobject 运行它。

但是，当我运行它时出现错误。对于在广告中重命名/移动的用户，我导入这些更改，当我运行同步时，我得到：

如何使用更新的 AdDistinguishedName 更新 MemberDN 列？:(

谢谢你。燃气轮机

嗨，我昨天发布了一个问题。但是，我正在尝试查找是否可以使用 FIM 完成以下操作。

我正在从 AD 导入用户对象并导出到 SQL 表。这是 SQL 表设计。

我正在将 AD 用户对象导入 mv:person，以下是流程规则。

到目前为止，我已经完成了工作。我想要做的是当 AD 中发生重命名时（比如用户的 distinctName 更改，如果它们被移动或它们的 cn 值更改），那么我希望 FIM 删除 sql 记录并使用新的 distinctname 值重新创建新记录对于 MemberDN 列。

是否有可能做到这一点？在元节配置代码中，我有以下内容：

但它会引发错误。不工作:(

可以使用 FIM for SQL 完成类似的操作吗？从我通过互联网阅读的所有内容来看，FIM 似乎不允许重命名 SQL 的锚点。所以人们推荐的另一件事是删除记录并在 SQL 中重新创建它。这对我有用，但我正在努力配置 FIM 来做到这一点。请帮忙。

谢谢你。燃气轮机

我有一个应用程序实例，由使用 OIM Webservices 连接器的 Web 服务支持。

OIM 以同步方式使用此连接器，因此当我在 OIM 中为此应用程序实例创建新帐户时，Web 服务会调用合作伙伴链接的方法。

在方法结束执行之前，OIM 屏幕会挂起（如预期的那样）。

让我觉得奇怪的是，无论伙伴链接的方法执行成功与否（当它没有正确执行时，它都会抛出异常），OIM 操作实际上忽略了异常并完成了操作。

即使我在 BPEL 中显式抛出异常，我也可以在 weblogic 中的 webservice 日志中看到错误，但 OIM 方法仍然完成。

我猜想，从这种情况下，OIM 可能会在屏幕上给出一条错误消息，因为操作失败了。但是不，OIM 会忽略错误并继续。

然后我尝试更改设计控制台中的流程定义以强制流程停止任何错误，并在下面设置标志“完成所需”

所以我想我在这里遗漏了一些东西

当 web 服务连接器抛出异常时，如何使 OIM 中止某些操作？

我正在研究 CA Single Sign-On 软件（以前称为 CA SiteMinder®），并遇到了两个新定义：

• 网络访问管理 (WAM)
• 身份管理 (IdM)

在维基百科上陈述这些定义：

IdM：“在计算领域，身份管理 (IdM) 描述了对单个主体、他们的身份验证、授权以及在系统和企业边界内或跨系统和企业边界的权限的管理，其目标是提高安全性和生产力，同时降低成本、停机时间和重复性任务。 ”

WAM：“ Web 访问管理是一种身份管理形式，它控制对 Web 资源的访问，提供身份验证管理、基于策略的授权、审计和报告服务（可选）以及单点登录便利”。

尽管这两个定义似乎很清楚，但我对它们的了解越多，我就越感到困惑，因为我不明白哪些任务是 WAM 独有的，哪些是 IdM 独有的。界限在哪里？他们在什么时候互动？谁负责 SSO？这两个定义都谈到了授权和身份验证，这让我很困惑。

我之所以问这个问题是因为根据Liferay Wiki “ Computer Associate 的 (CA) SiteMinder 是一个集中式Web 访问管理系统，它支持用户身份验证和单点登录、基于策略的授权、身份联合以及对 Web 应用程序的访问的审计和门户。 ”

如果您到达“架构用例：简单部署”部分（实施指南 -> 架构注意事项），您将看到一个图表。如果 CA SiteMinder 是 WAM：它为什么要进行授权和身份验证？这些任务不属于 IdM 吗？CA SSO 也是身份访问管理器吗？那么为什么会存在一个名为 CA Identity Manager 的产品呢？

谢谢。

PS：请随意纠正任何语法或语义错误，我不会说英语;-)

我有多个用于不同目的的 Spring Boot 应用程序。例如，移动客户端将其 GPS 坐标发送到一个 Spring Boot 微服务，同时这些移动客户端访问另一个 Spring Boot 微服务来执行其 CRUD 操作。

我面临验证客户的问题。我不想对所有服务进行身份验证。相反，我想通过使用另一个身份管理服务器（例如：Kerberos）来做到这一点，它为所有这些微服务生成一个 SSO 令牌。

或者一个代理，它验证所有传入的请求并将它们委托给相关的微服务。

我搜索了几个小时，即使在一般情况下，我也找不到任何关于保护微服务的可靠信息。

1. 我采用的设计或架构是否正确？
2. 对于这种情况，最好的方法是什么？
3. 我怎样才能实现这个身份服务器/代理谁进行身份验证？
4. 任何可以轻松与 Spring 集成的技术、已知的身份管理服务器、已知的设计模式是否存在？

还有一个问题，可以在这些服务中的每一个上实现相同的身份验证层吗？（因为我认为这很糟糕，我可能会错）

我想坚持春天。

如果有人可以指导我正确的道路，我将不胜感激。

https://www.nuget.org/packages/Thinktecture.IdentityManager/

所有者已取消列出此包。这可能意味着该软件包已被弃用或不应再使用。

为什么未选中？它不再使用了吗？我现在如何将 IdentityManager 与 Thinktecture Identityserver3 一起使用？

我已经使用默认的 h2 数据库配置设置了 wso2 身份服务器。当我厌倦了使用超级租户管理员凭据“管理员/管理员”访问其 RemoteUserStoreManagerService.getTenantIdofUser() 肥皂管理员服务时，它会抛出“拒绝访问”错误。我发现由于“超级租户”ID 未设置为而引发错误零（0）。它已在后端设置为“-1234”。请帮助解决此问题。

我们有一个场景，我们必须为 OIM 11G R2 PS3 中的少数用户分配部分管理员角色。OIM 中可用的 OOTB 功能不符合要求。我想知道是否有任何方法可以在某处添加自定义功能，以便我可以在创建自定义管理员角色之前选择相同的功能，然后再将其分配给用户。

谢谢，斯里尼

我有这个问题与在身份和访问管理解决方案中配置外部用户的过程有关。如何配置一个外部用户，例如来做一个晚上的工作或一个只是覆盖另一名员工的用户？我的意思是管理此类用户的最佳方式是什么。例如，一位只去健康中心一天或一晚的医生？或者只是被雇来为生病的医生支付一晚的费用？我们是否应该像为签订几个月合同的外部用户或顾问一样进行同样的配置？

我很感激你的帮助。

谢谢，阿迪亚