问题标签 [opensso]

我是 opensso（openam）的新手。我想使用 SSO 保护部署在 tomcat 中的 web 应用程序。我有一些基本问题需要澄清。

1. 完成我的工作所需的基本软件组件是什么，例如 tomcat、opensso.war 等...
2. 我需要安装多少策略代理以及安装在哪些位置。

我已经阅读了该文件，但我无法清楚地理解它。

提前致谢。等你重播。。

詹姆士

我们希望使用 OpenSSO 来满足我们的身份验证和授权需求，但更希望它与数据库而不是默认的 LDAP 数据存储进行通信。我们发现 OpenAM 9.0 版本中有一个实验性的数据库数据存储。

然而，它似乎只关心身份验证和用户生命周期管理。没有在数据库数据存储中存储权利信息的规定。我们希望将整个身份验证和授权信息保留在数据库中。

我什至可以在自定义代码方面付出一些努力，以使 OpenAM 与数据库对话以评估策略并决定用户在特定资源上可以做什么或不可以做什么。顺便说一句，我们有保护几种资源的要求，而不仅仅是页面（URL）。

我查看了代码，发现像com.sun.identity.entitlement.opensso.DataStore.java、 com.sun.identity.entitlement.PolicyDataStore.java、 com.sun.identity.entitlement.opensso 这样的基本数据存储类。 OpenSSOPolicyDataStore.java

都与基于 LDAP 的实现紧密绑定。

是否有任何接口或抽象类可以自定义以使 opensso 与数据库数据存储区对话以获取其权利和策略决策？

如果有人可以提供任何我可以开始使用的提示，我什至愿意花几个月的时间来完成这项工作。

谢谢并恭祝安康，

桑巴

我们在服务提供商站点上使用 OpenSAML 为我们的客户提供 SSO。我们的客户（ID 提供者）最终使用 OpenSSO。当涉及到签名元素时，OpenSSO 发布的 SAML 响应略有不同，因为它不受命名空间的限制。这似乎不适用于 OpenSAML，它从该 samlResponse.getSignature()方法返回 null，因此我无法验证签名。

导致问题的 SamlReponse 的签名片段

来自另一个有效的 SAML 响应的签名片段

正如您在上面看到的，来自 OpenSSO 服务器的签名片段不包含 SAML 绑定规范中指定的命名空间限定符。

对我来说，最后一个选项是对发布的 SAMLResponse 进行一些按摩，以将命名空间添加到签名元素以使 OpenSAML 库正常工作。

任何关于如何使用 OpenSAML 库来解决这个问题的想法都非常感谢。

在此先感谢 CJ

我意识到有很多关于如何在 Ubuntu 下设置 OpenLDAP 或如何为 OpenAM（以前称为 OpenSSO）配置数据存储的资料。对我来说最有用的一些是：

http://ubuntuforums.org/showpost.php?p=8236370&postcount=1

https://blogs.oracle.com/indira/entry/using_openldap_as_user_data

不幸的是，当我尝试导入从之前安装了 OpenSSO（实际上是 Java 访问管理器，但我希望它们与它们看起来一样可互换）的系统导出的 LDIF 时，我收到以下错误：

如果我注释掉一些 objectClass 行，我会遇到另一个语法错误，这让我觉得我错过了一个关键的模式。我已经添加了上面第二个链接中提供的架构，但这似乎没有奏效。

此页面 [ http://docs.sun.com/app/docs/doc/820-3320/ghlvi?a=view (link dead) ] 描述了要导入的 LDIF 文件列表，它建议与 OpenSSO 一起分发，但是唉，并非所有这些似乎都在 ForgeRock（OpenAM 的维护者）的可用下载中。[ http://www.forgerock.org/downloads.html ] 只有 fam_* 模式在那里。

我对接下来要尝试什么感到有些不知所措。我对 LDAP 配置没有太多经验，所以我可能忽略了一些非常明显的东西。谢谢你的帮助！

我有一个旧的 ColdFusion 应用程序，我负责使用他们的 Policy Agent 与 OpenSSO 集成。策略代理是一个本质上充当过滤器的原生 HTTP 模块（不在我的身份验证缓存中？使用指定的 returnUrl 重定向到此 URL，否则，如果我被发布以处理返回的身份验证信息并让用户通过） .

问题是主 index.cfm 页面执行 302 重定向到应用程序主页 (app/index.cfm)。当策略代理生成它的302 重定向时，它的返回 url 是http://sameplace/index.cfm,app/index.cfm，而不仅仅是http://sameplace。

似乎 ColdFusion 的 * ISAPI 处理程序以某种方式被调用，并且 Policy Agent MODULE 对已经存在的响应标头感到困惑，并用逗号将其附加到它自己的返回 url。

有人对此有经验吗？

有没有人使用 Fedlet 作为他们的服务提供者和 CA Siteminder 作为他们的身份提供者？我们的客户正在使用 CA Siteminder 联合安全服务，我们需要将我们的终端配置为可以接受具有属性映射的 SAMLv2 断言的服务提供商。IDP 启动的 SSO 是否可以使用此设置？

我只能让 Fedlet 与 OpenSSO 身份提供者一起工作，但不能与 CA Siteminder 一起工作。客户端只提供了要使用的 idp 和 sp ID、它们的元数据、协议和绑定标准，没有其他任何东西。我给了他们我们的 Assertion 消费者服务 URL（我从 Fedlet conf 上的 sp.xml 获得）和中继状态 url，我们将在用户成功登录后重定向用户。

或者您是否推荐使用不同的技术作为 CA 站点管理员 IDP 的服务提供商？

请指教。

您是否知道任何好的示例应用程序来演示如何添加 Web 应用程序以使用 OpenSSO？

我正在尝试在 Windows 7 中安装 j2ee Agent 3 for Tomcat。我尝试打开 agentadmin 批处理文件以开始安装，但程序仅在屏幕上闪烁并消失而没有影响。这是兼容性问题吗？有什么帮助吗？

在 AuthnRequest 期间，是否存在 AudienceRestriction

将与 AuthnRequest 中的颁发者不同

Is there possibility to federate SAML2 (or SAML1) IdP with ID-FF SP using openSSO (openAM)?

If yes, how?