问题标签 [opensso]

我需要使用 OpenAM J2EE 代理实现身份验证。我正在使用 JBOSS v7.1.1。J2EE Agent (3.1.0) 的当前生产版本不支持 JBOSS 7（除非实施了 hack）。因此，我使用 Community 网站上的 3.2.0 SNAPSHOT 版本在 JBOSS 7.1.1 上运行 J2EE Agent。我成功地运行了代理。代理拦截初始（即不存在令牌时）请求并将其转发到 OpenAM 服务器。但是成功登录后从 OpenAM Server 重定向失败，并且代理调试日志中记录了以下消息。我的问题是是否有人设法让最新的 3.2.0 SNAPSHOT 版本在 JBOSS 7 上运行，以及请求拦截和重定向是否正常工作。

Firefox 浏览器抛出：302 已暂时移动。我相信它会陷入循环。

我有一个要求cross domain sso。所以，我选择OpenAM了SAML. 我有两个应用程序托管在不同的服务器和主机中，我需要为其实现SSO。现在我读到了OpenAM with SAML但可以得到关于设置的核心思想。LDAP用作用户数据存储。现在我有一些想法并想验证它是否符合我的要求。

1. 因为我有两个应用程序（AppA和AppB）需要 SSO 实现。我需要将两个 OpenAM 配置为服务提供者吗？并且应该部署在不同的tomcat容器中？每个都service providers应该部署在AppAand中AppB吗？
2. 我需要另一个用于identity providerOpenAM 的单独的 tomcat 容器吗？
3. sp应该注册到并且应该注册到idp同一个？idpspCircle of trust

我还需要做什么吗？我是否必须LDAP为每个idp和单独配置sp？无论如何，就我而言，理想的设置是什么？

如何使用 Spring Security 和 OpenAM 作为身份验证提供程序来保护 mule 中的 http 端点？我用了

但我面临的问题是 Mule 使用 DefaultMuleAuthentication，其 getCredentials() 返回一个字符串，而 OpenAM 正在寻找 com.iplanet.sso.SSOToken 并且我得到 java.lang.String 无法转换为 com.iplanet.sso.SSOToken。

我想知道像 OpenIDM 这样的身份管理如何为单点登录增值，例如：OpenSSO / OpenAM 系统。我正在网上搜索这个，但答案对我来说看起来很复杂。谁能解释一下我们如何在 OpenAM 旁边使用 OpenIDM。

从我现在可以看到的是OpenIDM为用户注册（配置）过程提供用户/应用程序界面，以补充 OpenAm 控制台中的用户凭证创建。工作流程、治理和访问如何？并且不限于我提到的内容，如果您可以指出两者的一些参考实现或案例研究openIDM并openAM并排坐下来为身份和访问管理增值，这将很有用。

如果问题不适合stackoverflow，我很抱歉，我感谢读者的耐心。谢谢。

我正在尝试开发自己的 IDREPO：

我的用户表如下：

我的 IDREpo 实现的类具有以下详细信息：

但是当我调试我的代码时，我得到的异常是：

得到异常：

我在配置 j2ee 代理时遇到问题并且无法弄清楚出了什么问题，如果有人可以帮助我解决这个问题，我的问题是我在 tomcat 服务器的域 1 中配置了 openam 11，在 tomcat 的域 2 中配置了 agentapp服务器，现在当我使用 Datastore 作为“OpenDj”创建 J2ee 代理时，我可以为其配置我的 j2ee 代理，但是当我添加从 postgre sql 获取数据的自定义 Datastore 插件类时，我能够看到主题下的我的用户和组，但是当我尝试使用 Datastore 作为我的自定义数据存储重新配置 J2ee 代理时，我收到以下错误：

我在域 1 中安装了 OpenAM，并且我的应用程序在域 2 中受 J2EE 代理保护，我的问题是，一旦我在身份验证后访问我的应用程序，代理是否会通过网络联系 openam（用于授权），每次点击我在我的应用程序上做，如果答案是肯定的，那么如果我的代理和 openam 位于地理上分开的两个域中会对性能产生什么影响，如果答案是否定的，代理如何使对我的应用程序的访问无效，什么时候admin 使来自 openAm 主页的用户会话无效。

我是安全领域的新手，所以不知道这个问题在这里问是否有效。我目前正在使用 OpenAM 来确保我的 Web 应用程序与 J2ee 代理的安全性，现在我发现 OpenAM 可以使用 OAUTH 以及定义的基础策略进行授权，现在 openam 和 oauth 都为有效用户开发令牌，并且不共享应用程序的用户凭据，那么两者有什么不同呢？我的第二个问题是，如果我的应用程序不支持像 google 和 facebook 这样的 oauth，我需要做哪些基本操作才能在我的应用程序中实现 oauth。

我正在尝试使用 openAM 实现第三方身份验证，并且对 openAm 实现有疑问，即我的应用程序是否分布在不同的服务器上，这些服务器在地理上是分开的，并在相同的 DNS 名称下进行控制。如何区分不同服务器的会话。例如，如果我键入 www.google.com，它可以转发到任何最近的可用服务器，现在如果我必须对 google.com 进行身份验证，我的 openAm 将如何知道该请求是针对该特定服务器的。如果我以其他方式问它，那么每当我们在 openam 中更改策略或使会话无效时，它都会回调所有已注册的服务器，现在在分布式环境中，它如何区分服务器 IP

在浏览 openAm 文档时，我发现当会话被管理员无效时，openAm 会将此通知代理，但假设我的应用程序的多个副本位于负载均衡器后面的地理分布位置，具体情况如何如果发生会话失效，代理将收到通知，我想粘性会话在这种情况下不会有帮助，因为我的应用程序端没有请求。