问题标签 [opensso]

OpenSSO 的路线图表示权利将在 09 年夏天结束。任何人都知道它是否能够解决数据级别的安全问题，例如“userA 只能在屏幕上的此字段中输入 <500”或“UserA 只能在下拉列表中看到这些值”。
这是如何在组织中实现的，每个应用程序都控制数据级别的安全性，或者是否有一些人拥有一个企业存储库。
谢谢

我在两个“域”本地工作。我的机器上有 enterprise.local 和 application.local 虚拟主机，我需要为“local”或“.local”设置域 cookie，但在正确设置 cookie 时遇到了一些麻烦。在 application.local 中，我有这个：

我也试过这个：

使用setcookie()，不会设置任何 cookie。使用标头Set-Cookie设置cookie 。我已经从两者中删除了重定向，结果永远不会改变。它适用于，但不适用于。这很好，因为我真的不喜欢我使用哪种解决方案，但是在解决方案中，只要我添加一个域，它就会全部崩溃：Set-Cookiesetcookie()Set-Cookie

一旦我添加了域值，我就会收到一个标题错误：

我已经尝试将域值设置为“local”和“.local”。行为没有改变。

我很少需要显式访问 cookie，所以我希望我只是遗漏了一些明显的东西，但我肯定看不到它。任何见解将不胜感激。

更新：我想我已经进一步缩小了范围。只要我不包含域值，这两种方法似乎都可以工作。使用“local”或“.local”作为 cookie 的特定域会不会有问题？

是否可以将 OpenSSO fedlets 与 PHP（或 Java 或 .Net 以外的技术）一起使用以启用身份联合？

有没有使用 PHP 实现的 fedlets 的示例？

官方 Web 代理用户文档未说明支持的 SAML 版本。我正在尝试将此与未运行 Sun 的 OpenSSO 策略服务器的策略服务器集成，因此我唯一的要求是支持 SAML 2.0。有没有人有过这种设置的经验？

使用 OpenSSO 作为身份提供者，我应该怎么做（即使用 FedUtil.exe）来配置我的 .NET 依赖方，以便它能够进行 STS 舞蹈？

我已经让 OpenSSO 的 WS-Trust 客户端示例运行起来，所以我认为 OSSO 处于良好状态并为下一步做好了准备。

我在 FedUtil.exe 的“使用现有的 STS”墙上。我在哪里可以获得 OpenSSO 的 STS WS-Federation 元数据文档？我试过了：

• the.osso.server:port/opensso/sts
• the.osso.server:port/opensso/sts?wsdl
• the.osso.server:port/opensso/sts/mex
• the.osso.server:port/opensso/sts/mex?wsdl
• the.osso.server:port/opensso/sts/soap11
• the.osso.server:port/opensso/sts/soap11?wsdl

没有运气。

谢谢你的帮助，

泰勒

根据教程，我应该去 OpenSSO 并下载一个“快速构建”。但是，OpenSSO 网站上“Express Build 7”的下载链接似乎需要通过具有付费支持合同的帐户登录。

当前如何下载 OpenSSO 战争？

我希望这里有人对 Sun OpenSSO（现在的 ForgeRock OpenAM）有经验。

我正在尝试使用 Java / JBoss EAP 5.0 中的 OpenSSO 客户端 SDK 获取 ActiveDirectory 中的所有组。

我通过组合可以在网络上找到的各种示例和代码片段尝试了以下操作，但这失败并最终记录“不允许用户以外的身份的成员资格”。基本方法是使用 AMIdentityRepository -> getRealmIdentity() -> getMemberships(IdType.GROUP) ：

注意我不是试图确定用户是否是组的成员或检索用户的组 - 我试图获取所有组的列表。

任何建议将不胜感激 - 谢谢！

I have an widget-based front end talking to a REST layer. To use the front-end, a human needs to log in with a username and password. Once in, the user can interact with the widgets, which make calls to the REST layer. At this point, no authorization is done at the REST layer. If you have logged in successfully, you can do whatever you want.

However, I want to ensure that only users who have logged in can hit the REST layer. If you try to hit it with a browser or other client, you should get a 404.

We have managed to do this with OpenSSO, but it is complex. And its future is in doubt with its transformation to OpenAM. Also, there will be the need to integrate with other REST layers where Java code at the REST layer I have built will act as a client to other services secured by conceivably anything.

Thus, I have an issue with securing my stuff and security pluggability with other stuff.

I have been reading up on OAuth and CAS and OpenID and JOSSO and on and on and find myself confused as to which problems they all solve. I thought my problem was fairly basic, but I am at a loss. Any insight is appreciated.

Thanks.

我正在考虑使用OpenAM（以前的 Sun OpenSSO）保护整个 Java EE 软件平台。在 WebLogic AS 上运行的应用程序将受到JEE 策略代理和具有WS-Security SAML 令牌配置文件的Web 服务的保护。

据我了解，SSOTokenManager使应用程序代码能够检索 OpenAM 的 SSO 令牌。但为了调用受SAML保护的 Web 服务，我需要从 OpenAM 获取 SAML 断言。谁能告诉我该怎么做？

此外，在 Web 服务代码中，我可能需要从 SAML 断言中取回 SSO 令牌。那可能吗 ？

我们目前正在实施一个新的 OpenSSO 服务器。该服务器与 Web 服务器位于不同的服务器上，我无法在我们的 PHP Web 服务器上进行身份验证。

使用 openSSO 令牌设置的 cookie 称为 iPlanetDirectoryPro。这是从 authServer.company.com 设置的。我需要从 webserver.company.com 读取此内容，然后向 authserver.company.com 发送 HTTPRequest 以检索该 OpenSSO 令牌的属性。

目前我的代码看起来像这样，但它不起作用，我怀疑是由于没有正确读取 cookie。

有什么想法吗？我会以错误的方式解决这个问题吗？

更新- 所以我发现的底线是服务器根本无法读取 cookie，因为它来自另一台服务器。作为一项工作，我实现了一个允许用户从网络服务器提交登录页面的 REST API。它发送到 AuthServer 并返回响应。响应通常应该是一个令牌，除非它无效。如果它是一个令牌，则使用其中的令牌创建一个新的 cookie，以便应用程序可以使用该令牌与 authserver 通信，但 cookie 位于 webservers 域下