问题标签 [openam]

我正在使用 OpenAM 9.5.4 和 Open DJ 2.4.5，并且遇到“重置时强制更改密码”的问题

以下是我设置环境的步骤：

1) 向默认领域添加了密码服务：

• iplanet-am-password-reset-userValidate=uid
• iplanet-am-password-reset-searchFilter=objectclass=person
• iplanet-am-password-reset-baseDN=dc=opensso,dc-java,dc=net
• iplanet-am-password-reset-lockout-duration=0
• iplanet-am-password-reset-max-num-of-questions=5
• iplanet-am-password-reset-question=最喜欢的餐厅
• iplanet-am-password-reset-bindPasswd= * *
• iplanet-am-password-reset-failure-duration=300
• iplanet-am-password-reset-notification=com.sun.identity.password.plugins.EmailPassword
• iplanet-am-password-reset-lockout-attribute-name=inetuserstatus
• iplanet-am-password-reset-lockout-attribute-value=inactive
• iplanet-am-password-reset-lockout-warn-user=4
• iplanet-am-password-reset-bindDN=cn=openssouser,ou=opensso adminusers,dc=opensso,dc=java,dc=net
• iplanet-am-password-reset-lockout-email-address=
• iplanet-am-password-reset-user-personal-question=true RequiredValueValidator=com.sun.identity.sm.RequiredValueValidator
• iplanet-am-password-reset-force-reset=true
• iplanet-am-password-reset-failure-count=5
• iplanet-am-password-reset-failure-lockout-mode=true
• iplanet-am-password-reset-option=com.sun.identity.password.plugins.RandomPasswordGenerator
• iplanet-am-password-reset-enabled=true

2) 在 OpenDJ 中创建密码策略：

配置密码策略的属性

3）创建了一个虚拟属性来将密码策略分配给一组用户：

配置用户定义的虚拟属性的属性

4）创建用户

当我通过“重置密码”屏幕回答秘密问题时，我会收到重置密码的电子邮件。但是使用新密码（或旧密码）会给出“身份验证错误”

我在 OpenDJ 控制面板中查看了用户，“pwdReset”属性按预期从“false”更改为“true”。但是，如果我将其改回“false”，我会验证属性，但我不会被迫更改密码。

有没有其他人有这个问题？

我们正在使用 Open AM Restful API 来执行身份验证。我们的 restful 调用格式如下：

http://OpenAM_Host:Port/deploy_uri/identity/authenticate?username=scott&password=tiger

我们如何以加密/编码格式发送密码？

我做了以下步骤来实现 SSO，但得到了令牌异常，所以我的 tomcat 没有启动，

1. 我已经在我的一个 tomcat 实例上的机器上安装了 Openam 服务器，这是我的身份存储库。我的 openam 服务器工作正常。我在 openam 服务器上为要访问我们应用程序的 SSO 创建了用户。

2. 和 J2EE 策略代理在另一个 tomcat 中保护我们在同一台机器上的应用程序。但是当我要启动那个 tomcat 实例来访问应用程序时，我面临以下异常。

   [AgentException Stack] com.sun.identity.agents.arch.AgentException：ApplicationSSOTokenProvider.getApplicationSSOToken()：无法在 com.sun.identity.agents.common.ApplicationSSOTokenProvider.getApplicationSSOToken(ApplicationSSOTokenProvider.java:81) 处获取应用程序 SSO 令牌com.sun.identity.agents.arch.AgentConfiguration.setAppSSOToken(AgentConfiguration.java:616) 在 com.sun.identity.agents.arch.AgentConfiguration.bootStrapClientConfiguration(AgentConfiguration.java:722) 在 com.sun.identity.agents。 arch.AgentConfiguration.initializeConfiguration(AgentConfiguration.java:1140) 在 com.sun.identity.agents.arch.AgentConfiguration.(AgentConfiguration.java:1579) 在 com.sun.identity.agents.arch.Manager.(Manager.java: 643) 在 com.sun.identity.agents.tomcat.v6.AmTomcatRealm.(AmTomcatRealm.java:64) 在 sun.reflect.NativeConstructorAccessorImpl。newInstance0（本机方法）

你能建议任何解决方案吗？是因为 FQDN 吗？

你能告诉我我们是否可以使用 OpenIDM 作为 OpenAM 而不是 OpenDJ 的数据存储？

我在互联网上搜索，我什么也没找到。

如果有可能你有一个可以帮助我的文档页面吗？如果不是，使用 OpenIDM 和 OpenAM 管理用户身份和身份验证的最佳实践是什么？

因此，我看到 SAML 2.0 sp 启动的配置有几个不同的实现配置文件：

1. POST-POST
2. 重定向-POST
3. 工件-POST
4. 后工件
5. 重定向工件
6. 神器-神器

各有什么优势？我们正在实施一种 sp 启动的方法，从最终用户的角度来看，每个配置文件的体验似乎是相同的，但我担心安全隐患。一个比另一个更安全吗？

顺便说一句...我们正在将 OpenAM 作为我们的 IdP 并将 SimpleSAMLphp 作为我们的 SP 库。如果您知道该设置仅支持特定配置文件，我也很想知道。

使用 /identity/create 服务时，默认 OpenAM 架构需要 sn 和 cn 属性。即使我在请求中指定了它们，我在后端收到一个错误，说 sn 丢失......还有其他人让创建身份端点工作吗？

我将 OpenDS 用于支持 ldap，将 9.5.4 版用于 OpenAM。所有其他端点（身份验证、注销、isValidToken、更新）都可以正常工作。

要求：

例外：

OpenDS 错误：

更新：

看起来当它到达 LDAPv3Repo 时，sn 和 cn 属性已被删除：

调试日志中没有其他看起来有帮助的东西。

我们目前正在探索OpenAM和Shibboleth。

我们的应用程序不是使用 Spring 构建的，我们也没有探索 Spring 的使用。

我想将 OpenAM/OpenSSO SSO 功能添加到 JBoss EAP 6 或 JBoss AS 7。这意味着我必须在 JBoss 上安装 SSO Java EE 代理。Forgerock 的 OpenAM 下载页面提供了获取以前版本 JBoss 的代理的机会，但不支持新的 JBoss EAP 6 / JBoss AS 7（目前）。

你知道这样的代理是否在某个地方可用，或者在不久的将来会可用吗？如果没有，您知道如何更改 JBoss 配置以使其与 OpenAM 一起使用吗？

我正在使用 OpenAM 对我的应用程序进行身份验证。我使用这样的 URL 访问我的应用程序：

首次访问时，OpenAM 代理会捕获 URL 并使用此重定向 URL 将我的浏览器重定向到身份验证页面：

正确身份验证后，我最终被重定向到以下 URL：

这是逻辑，因为这是 goto 参数中引用的 URL。但它与原来的不一样：缺少 servlet 和自定义参数（语言和用户）。

知道如何配置我的代理以使其在重定向后保留 servlet 和参数吗？

我们在最后设置了一个 OpenSSO (OpenAM) 实例，以作为服务提供商 (SP) 工作。到目前为止，它在 SP 发起的 SSO 场景中运行良好，但是，我最近不得不为 IDP 发起的场景设置它，但无法让它成功运行。解释一下，在这种情况下，IDP 想将 SAMLResponse 直接发送到我端的 Assertion 消费者服务，我们的 OpenAM 实例应该能够成功消化响应并将用户发送到我们的底层应用程序。我的问题是：

1. 除了在 IDP 和我们 (SP) 之间交换/上传元数据之外，在这种情况下是否需要任何其他配置？

2. 我可以将 iDP 的元数据上传到与当前在 SP 启动方案中工作的其他 IDP 相同的 COT 中吗？还是每个 IDP 提供者都应该有一个新的 COT？

3. 我应该向 IDP 提供哪个 URL 以将 SAMLResponse 发送到？是我们元数据中的 AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 吗？几天前我尝试了这个，OpenAM 报告了一个错误——“这不是这个请求的正确消费者服务”或其他东西。