问题标签 [openam]

我想用 openam 配置 liferay。我可以通过ldap用户登录liferay，但是当我尝试通过openam而不是openam登录时，它不允许在其中创建用户。并且还想知道如何在openam中使用ldap用户。

我想通过 ldap 用户通过 openam 登录 liferay。所以请帮我逐步配置liferay+openam+ldap配置。

我对使用 RESTful API 实现 SSO 感到有点困惑。到目前为止，我已经使用 RESTful API 进行身份验证并获取token-id.

应该如何实施 SSO？要使令牌得到验证，它必须作为 cookie 或其他东西保存在某个地方。有没有办法做到这一点？

我正在尝试使用以下代码在注销时删除 iPlanetDirectoryPro cookie。

但它仍然没有被删除。删除它的其他选项是什么？

我有一个客户想要使用基于 SAML2 断言的方法来实现 SSO。客户将成为身份提供者 (IDP)，而我的应用程序将有效地成为服务提供者 (SP)。

在过去，我实施了 SSO 解决方案，其中 IDP 是 Oracle Access Manager，因此我们获得了 idp.xml 文件，它允许我们使用提供的 Fedlet 配置我们的 SP 环境。这方便地创建了一个相关的 WAR 文件，在部署后，我可以将 sp.xml 文件分发给将其导入 IDP 的客户。这一切都很好，我理解这些概念，即我们收到初始请求，fedlet 处理这个并将用户带到他们进行身份验证的 IDP，然后通过 Fedlet 允许我们的 SAML 响应将它们传递回我们的 SP解析和提取一些识别用户的数据。然后，我执行将它们登录到我们的应用程序所需的操作。

然而，目前的要求是不使用任何后端框架来提供 IDP，他们已经声明它是定制的。他们给了我 IDP URL 和证书文件，并要求我们提供“AssertionConsumerServiceURL”和“AudienceURI”。

我为其启用 SSO 的应用程序主要基于 Java。到目前为止，我的调查使我找到了 Forgerock 的 OpenAM 解决方案以及 Shibboleth 的 OpenSAML。然而，我在第一步中挣扎，基本上我在哪里开始构建一个使用 OpenAM/Shibboleth/AnotherFramework 连接到第三方 IDP 的自定义 SP 应用程序。

任何指针都会非常有用。

谢谢，李

根据上述文档，要创建初始配置，我需要打开 Web 浏览器。这对我来说听起来真的很奇怪。我想编写 OpenAM 部署的脚本，这似乎是不可能的。

https://wikis.forgerock.org/confluence/display/openam/Deploy+OpenAM

我的实际脚本执行以下操作

1. 下载 openam
2. 提取openam
3. 在tomcat webapp中复制.war
4. 提取管理工具
5. 提取配置工具
6. 提取诊断工具
7. 下载opendj
8. 使用所有参数启动 opendj 的设置

现在我想使用我想使用的配置文件启动 openam 的配置工具，但似乎 OpenAM 必须已经配置；

配置工具需要$HOME/openam/boostrap文件，$HOME/openam配置文件夹在哪里，一旦你已经配置它就应该存在。

这是真的 ？要使用配置工具，您必须已经配置您的服务？

所以这里是场景。

我有我的网络应用程序 <==> IDP 代理 <==> IDP。IDP 代理和 IDP 都是 openam 实例。我们的想法是我们可以添加额外的 IDP（来自其他客户端），因此我们需要一个代理来屏蔽复杂性。

所以这里的 IDP 代理是：http://idpproxydev.devs1.int:8080/ openam

IDP 网址为： http://idpdev.devs1.int:80/ openam

我的网络应用程序是：http ://ocr-jq0zt91.devs1.int:9081/LOS

我开始使用 http://static.springsource.org/spring-security/site/extensions/saml/index.html 进行集成，现在我看到 SAML: request wassent from my web app 。

我现在遇到的问题是，当我使用 Fedlet（在 IDP 代理上使用 Openam 生成的客户端）测试我的设置时，请求转到代理，然后路由到 IDP，因为 Fedlet 生成的 SAML 请求具有附加信息，是 SAML 请求中的这个片段吗

所以我看到的唯一区别是 FEDLET 生成的 SAML 请求中的额外负载。

因此，通过在 SAML 请求中看到上述代码段，IDP 代理知道最终目的地不是它自己（http://idpproxydev.devs1.int:8080/openam），而是另一个实体，在这种情况下是http://idpdev。 devs1.int:80/openam

Fedlet 具有扩展元数据的附加属性文件 (sp-extended.xml)，我们可以在其中添加这些附加内容。

但是在 spring saml 安全库中，我看不到任何可以添加这些附加属性的方式，以便 SAML 请求可以包含此信息。有没有办法可以提供上面列出的其他属性？

这样当我的网络应用程序发送请求时，spring saml 扩展程序可以读取？

我们有 Liferay 服务器，登录页面是使用 Apache Web 服务器上的策略代理配置的公共页面，用户的身份验证过程是通过 openAM 完成的。成功验证后，必须将用户重定向到 url 中提到的 goto 参数，如果身份验证失败（通过身份验证模块），我们正在处理错误并使用请求中的错误代码再次将用户重定向到登录页面。

但是现在apache web服务器再次拦截了请求，我认为因为同样的错误代码丢失了，有什么方法可以纠正程序，以便我们在身份验证不成功时也可以得到错误代码。

同样在我们的例子中，goto 参数被附加在 url 中的次数超过了所需的次数，这是不正确的。

请让我知道我可能错在哪里，是配置策略代理时的问题还是来源不同？

我正在尝试使用 OpenAm 作为 IDP 和应用程序本身作为服务提供商为我的应用程序配置 SSO。

以下是 IDP 和服务提供商的元数据：

服务提供商元数据：

当我测试联邦时，我总是收到以下错误：

在我正在测试的信任圈中，我已从 IDP 和 SP 中删除了此标识符。

任何帮助，将不胜感激。

谢谢。

OpenAM我使用跨域部署，但是当我尝试查看示例应用程序代理tomcat时，在验证服务器后OpenAM他返回404 error： HTTP Status 404 - / appagent / sunwCDSSORedirectURI

状态报告类型

message / appagent / sunwCDSSORedirectURI

描述 请求的资源 ( / appagent / sunwCDSSORedirectURI) 不可用。

注意：在我的页面sunwCDSSORedirectURI.jsp代理部署上tomcat包含没有处理是正常的吗？

我正在尝试将 OpenAM 作为 OAuth 2.0 提供程序，并希望找到一个为此目的设置 OpenAM 的示例以及 Java 中的客户端代码。有人可以帮忙吗？

谢谢