问题标签 [openam]

The basic requirement is to centralize the authentication and authorization of multiple SaaS applications to ease development (each SaaS application using minimal code to authenticate against a single source) and when necessary provide SSO. The authentication mechanism must handle the following options available to the user:

1. Use Third Party Authentication -- Google
2. Use our centralized authentication
3. Use the corporate provided authentication (ADFS)

In my research, I have found many, many ways this can be done and have found OpenAM to be the most complete solution, but then I came across FreeRadius which could also be used.

My Questions are:

1. There seems to be a plug-in for each tool where one can use the other together (OpenAM - authenticate against radius server), but is there any use case where FreeRadius would be preferred as the SOLE authentication server over OpenAM.

2. Does OpenAM require that a web agent installed for the server - if all I am doing is serving a Restful Interface (developed in Node.js) - is it possible to authenticate users without installing a web agent (there is no web agent for Node.js).

3. Can I pass user credentials from Browser -> Server (node.js) -> OpenAM thereby not giving the user the OpenAM login screen. The OpenAM token will be passed from OpenAM -> Server -> Browser (setting the cookies's origin as the SaaS's application. That is each SaaS application server will serve as a "proxy" for user management (authenticate, authorize, and manage[create|update|delete] users)

Thank you

嗨，我是 salesforce 和 openam 的新手，有人可以告诉我如何使用 salesforce 作为 SP 和 openam 作为 IDP 启动和详细实施单点登录（SP 和 IDP 启动）

非常感谢提前

在我们安装和配置 Tomcat 代理之前，在为 J2EE 创建代理配置文件时，我在 OpenAM 中有一个基本问题。

在代理配置文件中，我们有“代理 URL”。代理 URL 在这里是什么意思？

代理配置文件页面中给出的语法是“protocol://host:port/deploymentUri 例如http://agent1.sample.com:1234/agentapp ”

这里agentapp是什么意思？它是默认的一个还是我们在Tomcat中的部署应用程序？

请解开我的疑惑。

谢谢，卡西克

Need a compatible openAM web agent for Jboss7. Or what can be done with existing version to make it compatible with JBoss AS 7?

jboss_v42_agent asks for the config path of Jboss while configuring and it does not accept any of the config paths in Jboss7.

Log of policy agent installation...

我正在尝试将 openam 配置为身份提供者来测试我的基于 SAML 的服务提供者应用程序。

我进行了很多搜索并看到了 openam 的文档。openam 支持很多东西，我现在可能不需要。我不想阅读整个文档，这将花费大量时间阅读我现在不想测试的东西。我什至在http://docs.forgerock.org/en/openam/10.0.0/admin-guide/index/index.html看到了chatpet 9“管理 SAML 2.0 SSO” 但在此之前需要配置很多东西.

是否有任何快速入门指南可以将其作为基于 saml 的 IdP 进行测试？

编辑

不是很快，详细的也还好。但我希望 OpenAm 作为身份提供者。SP 是我们开发的托管在 Jetty 上的应用程序。还告诉我我必须在 SP 上进行哪些更改，例如应用程序的哪些 url 应该响应什么。

我已经在 OpenAM 中安装了 Weblogic Policy Agent。跟随 URL “<a href="http://openam.forgerock.org/openam-documentation/openam-doc-source/doc/agent-install-guide/index/chap-weblogic.html" rel="nofollow" >http://openam.forgerock.org/openam-documentation/openam-doc-source/doc/agent-install-guide/index/chap-weblogic.html”安装策略代理。我正在使用 Oracle Weblogic server 10.3.5.0 来部署 .war 文件。用于 Oracle Identity Manager 11.1.1.5.0 的同一 Weblogic 服务器。在 Weblogic Policy Agent 安装后步骤中，需要为安全领域选择 Agent Authenticator。

我在这里有疑问。我是想创建“新领域”还是可以使用现有领域“myrealm”？但是，“myrealm”包含了 OIM 的详细信息。

我正在考虑为 openAM Weblogic 策略代理创建新领域，如果是这样，我需要做些什么来为 OpenAM 创建新领域。

请就此提出建议。

谢谢和问候， 卡西克

我们是服务提供商，支持基于 SAML 的单点登录。我们希望我们的客户在他们的 OpenAm 中将我们注册为服务提供商。

当他们将我们注册为远程 SP 时，他们需要向我们提供签名证书。他们如何轻松获得证书以便他们可以提供给我们？

在 OpenAm 中，当我们选择注册 Google Apps / SalesForce 时，它​​会提供下载证书的选项，该证书将上传到 Google Apps / SalesForce。但是在注册远程 SP 时，它不提供任何证书。

那么有没有办法在注册类似于 Google Apps / SalesForce 的远程 SP 时轻松获得证书？

以下是 OpenAm 上 IdP 的元数据文件

SP 位于： http: //mysp.com/

可以发布 SAML 响应的 SP 的 Auth url 位于： http: //mysp.com/login

以下请求适用于 SSO 登录： http://myidp.com/openam/idpssoinit?metaAlias=%2Fidp&spEntityID=mysp.com&binding=urn%3Aoasis%3Anames%3Atc%3ASAML%3A2.0%3Abindings%3AHTTP-POST&RelayState= http %3A%2F%2Fmysp.com 但我相信这是 OpenAm 特有的，而不是 SAML 的标准身份验证方式。

当我将 SAML 请求发布到http://myidp.com/openam/SSOPOST/metaAlias/idp时，它返回以下 xml

我发布的 SAML 请求是以下 xml 的 base 64 编码版本

由于它在第一种情况下工作，很可能它应该是 SAML 请求的一些问题。是否存在任何参数是第一个请求但不是第二个？

我正在尝试通过参考以下链接在我现有的 Web 应用程序中使用 OpenAM 实现 SSO

http://fczaja.blogspot.com/2012/06/idp-initiated-sso-and-identity_21.html

PS。我的网络应用程序已经有了自己的登录页面

现在实现后得到的是，openAM 登录页面在我的 Web 应用程序中受到保护，我需要再次登录到我的应用程序

我需要的是，想跳过我的应用程序的登录页面成为单点登录。

那么，谁能告诉我我还需要做哪些任务？我需要修改我的应用程序的登录页面吗？我需要任何数据库或数据存储来保存用户登录信息吗？

我是OpenAM的新手。我已将 openAM 配置为 SP，并使用 SAML 将其与远程 IDP 联合。一切正常，但我想知道在哪里可以检查来自 IDP 的 SAML 响应。我验证了所有日志，但没有找到。有任何想法吗 ？