问题标签 [pdp]

我有一个使用 KeyRock、PEP、PDP(AuthZForce) 的应用程序。

Keyrock 和 PEP 的安全级别 1（身份验证）正在工作，但是当我们尝试使用 AuthZForce 检查授权时，我收到错误消息：

我有我的用户和我按照 Fiware IdM 用户和程序员指南中的步骤创建的应用程序。

我还可以按照 AuthZForce - Installation and Administration Guide 中的说明创建域，但我不知道在创建域 ID 时如何将域 ID 与用户角色绑定。

那么，如何在特定域下插入用户/组织/应用程序，然后获得安全级别 2？

我的 config.js 文件：

我的 docker-compose.yml 文件是：

这个问题与AuthZForce Security Level 2: Basic Authorization error "AZF domain not created for application"相同，但我得到同样的错误，我的 keyrock 版本是 v5.4.0。

我将如何重构下面的代码，以便只有一个拒绝函数而不是两个，并且只有一个对数据库的调用而不是三个。我也试图没有任何重复。

我正在尝试使用 KeyRock idm、Wilma PEP-Proxy 和 AuthZForce PDP over Docker 来保护 Orion Context Broker。目前，1 级安全性运行良好，我可以拒绝未登录用户的访问，但在尝试添加 2 级时，我在 Wilma 上收到此错误。

这是我在 Wilma 的 config.js 文件中的 azf 配置：

这就是我在 KeyRock 上设置访问控制配置的方式：

我已经在 Keyrock 上创建了自定义策略，但是 AuthZForce 日志没有显示来自 KeyRock 或 Wilma 的任何请求，因此没有在 PDP 上创建域。我检查了所有容器都可以看到并相互访问，并且所有端口都已启动。我可能缺少一些配置。

这些是我正在使用的版本：

这个问题与“未为应用程序创建 AZF 域”AuthZforce 相同，但即使使用所示的 AuthZForce GE 配置，我的问题仍然存在。

我正在测试 FIWARE 安全 GEris。但是当我将 PDP (AuthzForce) 与 PEP 代理 (Wilma) 一起使用时，我遇到了问题。

现在，Wilma 和 AuthzForce 分别运作良好。但是，当我使用访问令牌向 Wilma 请求资源时，Wilma 检索到错误的 PDP 域，因为它是由 Horizo​​n 制作的“app_azf_domain”。

这是我的访问令牌：

{ "organizations": [ ], "displayName": "user0", "roles": [ { "name": "End user", "id": "bb42b0b3f680469cbba5b2fb4e8c39f7" }, { "name": "Global manager", “id”：“17c87423eb514fc1a8a7f0fecaa543f9”}，{“姓名”：“家庭”，“id”：“0a4839c502054c1189a27e40f3189a55”}]，“app_id”：“a8e7489b62fc4ed9b8b8b6ee28d3dd091” “：” user0", "app_azf_domain": "iiJ8_xICEeeHFQJCrBEABA" }

这是问题所在。我没有 iiJ8_xICEeeHFQJCrBEABA 域！

那么，我可以更改 app_azf_domain 或将域命名为 iiJ8_xICEeeHFQJCrBEABA 吗？

我正在为一个角色分配权限（仅访问 /resource1）。但是 Keyrock 给我一个错误“无法更新访问控制 GE 中的策略”。

因此，即使我使用具有只能访问资源 1 的权限的访问令牌请求资源 2（不是资源 1），AuthzForce 也会允许访问，因为策略没有更新（可能是其他问题）。

问题是为什么 authzforce 不能更新策略？

现在，我成功地将权限链接到角色（策略更新失败除外），并将角色分配给用户。然后我仔细检查了 Keyrock 和 AuthzForce 的配置。我认为它们连接得很好。

Keyrock 的错误信息

是什么让我认为 AuthzForce 运行良好（当我使用访问令牌向 Wilma 发送访问请求时，这是 Wilma 的成功日志）

请参考上面的图片，以及下面的配置和环境。

我的环境：

安装 AuthzForce 5.4.1 时的错误日志（/var/log/tomcat7/authzforce-ce/error.log）（我使用 AuthzForce 7.0.0 的原因）。我在安装 authzforce-5.4.1 时使用了 openjdk-7 和 tomcat7。

我正在尝试配置 WSO2 API 网关，我可以使用外部 PDP（策略决策点）如 Axiomatics 策略服务器来实现授权吗？还想知道如何配置它，任何文档或指针都会有所帮助。

我在 AuthZForce PDP 的域中创建了此策略：

回应是：

所以我知道该政策是在 PDP 中定义的。

但是，当我对 PDP 域运行此请求时，不会评估该策略，只有默认的 allow-all：

回复：

为什么是这样？

我想使用 Wso2 作为策略决策点，但我不太喜欢它使用基本身份验证。

是否可以更改 XACML 请求的身份验证方法？例如，我可以使用 SSO 吗？

I've extended a policy set to include a new policy, which means I've added targets to the policies to ensure that a request targets the right policy.

here is the policy set xacml:

So when I want to check the second policy (whether an App is allowed in Prod) I send a request like:

Which returns what I expect:

So far so good.... But when I send this:

I don't get a similar response to the first one (but a Permit), I get this:

Now you might think that the policy is defined incorrectly, so I then sent this:

I got what I expected - A Deny, with not Target missing errors:

so Why is the PDP getting confused for this one policy (that looks to my eyes the same as the other that works correctly....yes I get a permit when the App is in the list in the policy)?

why does it think the attribute for the target is missing completely (instead of having just the wrong value)? And Why is it doing this for the condition attribute?

wso2 PDP 中是否有一些选项可以对资源总和发出单个请求？

我认为拥有这样的东西可以真正提高性能，而不是每次都询问 PDP。如果我可以发出一个请求并获得单个用户的所有访问权限，那就太好了。