问题标签 [identity-management]

我们有一个场景，我想用 Wilma PEP 代理保护服务 X。服务 X 在 Keyrock 中注册。Wilma PEP 代理包含在 Keyrock 中为服务 X 生成的 PEP 凭据。应用程序 Y 可以使用为该特定服务生成的正确 OAuth2 凭据（来自服务 X 的 client_id 和 client_secret）访问服务 X。没关系。但是有一个问题：应用程序 Z 也可以使用不同的 OAuth2 凭据（不是服务 X 凭据）访问服务 X！

如果这是可能的，为什么我们在 Keyrock 中生成具有特定 OAuth2 凭据的应用程序，如果它们不控制任何东西？！它没有任何意义！

这是一个很大的安全问题，因为一个入侵者可以在 Keyrock 中注册一些应用程序，并且使用为这个特定应用程序生成的令牌（使用它自己的 OAuth2 凭据），这个入侵者可以访问在这个 Keyrock 实例中注册的所有应用程序！

我必须检查在我的所有 OIM 环境中部署了哪些插件。我可以做 MDS 导出来检查。

但我需要一个更快的解决方案来做同样的事情。

是否有一个 SQL 查询来检查相同的？

我需要来自特定用户的组织信息。此信息不会返回，如下所示：

我得到一个空的组织列表。甚至组织的所有者也会收到一个空列表。

这是一个错误吗？我们可以做些什么来获取这些信息？

在我的本地实例中，我只需完成本教程的第 7 步：

http://forge.fiware.org/plugins/mediawiki/wiki/fiware/index.php/FIWARE_Lab:_Upgrade_to_Community_Account#How_can_authorize_other_users_to_use_my_cloud_resources.3F

我继续这个问题，等待一些帮助......

First of all, I'm using the Telefonica implementations of Identity Manager, Authorization PDP and PEP Proxy, instead of the Fiware reference implementations which are Keyrock, AuthZForce and Wilma PEP Proxy. The source code and reference documentation of each component can be found in the following GitHub repos:

• Telefonica keystone-spassword:

GitHub /telefonicaid/fiware-keystone-spassword

• Telefonica keypass:

GitHub /telefonicaid/fiware-keypass

• Telefonica PEP-Proxy:

GitHub /telefonicaid/fiware-pep-steelskin

Besides, I'm working with my own in-house installation of the components, NO Fi-Lab. In addition to security components, I've an IoT Agent-UL instance and an Orion Context Broker instance.

Starting from that configuration, I've created a domain in keystone (Fiware-Service) and a project inside the domain (Fiware-ServicePath). Then I've one device connected to the platform, sendding data to the IoT Agent behind the PEP Proxy. The whole device message is represented as a single Entity in Orion Context Broker.

So, the question is:

How can I restrict a specific keystone user to access only to the entity associated to this device, at the level of the Orion Context Broker API?

I know that I can allow/deny user acces to specific API via keystone Roles and XACML Policies but that implies that I should create one Policy per User-Device pair.

I could use some help with this, to know if I'm on the right way.

我在 powershell 中使用 TFS IIdentityManagementService2 来获取用户对象的用户详细信息（分配给/创建者字段）。我能够获得像域\用户名这样的用户唯一名称。我现在如何获取用户的电子邮件 ID？

在提供所有参数后运行 UploadJars 实用程序时，实用程序失败并出现以下异常：

任何帮助将不胜感激 ：）

为了开发物联网应用程序，我已经在 Fiware 平台的上下文中使用 IdM Keyrock、Wilma PEP 代理和 AuthZForce 工作了几个星期。

我使用 Wilma PEP 代理成功地保护了 Orion 上下文代理 API，现在轮到保护 IoT-UL API 以保护“南向”API。

我考虑过使用与 Orion Context Broker 类似的策略。在这种情况下，每个传感器都有一个 OAUth2 令牌，并在 IoT-UL API 前面放置一个 PEP 代理，我将能够对它们的每个请求进行身份验证和授权。

然后我注意到在 Keyrock 界面中，我的应用程序选项卡中有一个部分，我可以在其中注册 IoT 传感器，因此我注册了一些 IoT 传感器。然后我意识到我无法为这些用户分配角色（因为在内部他们是用户），我也无法使用 keyrock 界面登录。所以我无法分配角色，也无法生成 OAuth2 令牌。

我错过了什么？物联网传感器可能还没有身份验证和授权。在那种情况下，我曾考虑使用普通用户来代表物联网传感器，但我认为这太过分了。对此的任何帮助都将非常有用。

语境

在ISPIM 设备中，如果设备已启动并运行所有三个数据库及其服务器作为 idb/esso/psr，我无法使用“pim 管理器”登录控制台。

问题

我需要向 db2admin 授予哪些权限才能授予权限？

我试过了

使用 db2admin 授予权限，但它给了我错误消息：

SQL0552N "DB2"

我创建了分配给该角色的角色和访问策略（具有应用程序实例）。当我创建用户时，分配了角色，但没有向用户帐户添加资源。

我运行目录以及评估用户策略调度程序。资源未在用户帐户中更新

在 OIM11gR2Ps3 中同样有效，但在 12c 中无效。

请帮忙。

我们必须在 keycloak 中为每个用户和每个客户端配置时间限制访问。例如，用户 a 应该可以从 2017-11-06 到 2018-11-06 访问 confluence。

我们在 keycloak 管理控制台中配置了基于时间的策略，并使用内置的评估页面成功检查了条件。

客户 >> Confluence >> 授权 >> 政策

但是keycloak在用户登录时没有评估策略。

我们的第一个假设是 keycloak 会在用户身份验证时评估这些策略，但我们配置的任何策略都不会对用户身份验证产生任何影响（用户可以独立于 keycloak 的策略配置登录）。我们假设客户端（例如 Confluence）必须评估客户端策略。我们的假设正确吗？

请您能给我们提示如何在 keycloak 中配置将在用户身份验证期间评估的用户访问策略吗？