问题标签 [siteminder]

我的应用程序有一个“自定义”（JSF）登录页面。我的公司使用 Siteminder 进行身份验证。因此，为了使用“自定义”页面登录到 Siteminder，我必须有一个表单，该表单使用适当的表单字段（用户名/密码和几个 Siteminder 特定的隐藏字段）发布到 /login.fcc。

我正在尝试做的是继续利用 JSF 的表单验证等，并且仍然发布到 login.fcc。

这是我的自定义表单的精简版：

请注意，我对 target 和 smagentname 字段使用了标准隐藏输入。这是因为我不需要在控制器中为这些字段同时设置 setter 和 getter。我只是希望控制器在页面呈现时提供值。

我的控制器方法如下所示：

您可以看到我正在记录除密码字段之外的所有字段的值，并且它们都在我的日志中正确打印......所以我知道我正在获取这些值。我的“forwardTo()”方法只是获取 ExternalContext 并在其上调用 dispatch()...传递到 login.fcc 页面的路径（即“/forms/login.fcc”）。

当我在表单中输入值并单击登录按钮时，我会在控制台中看到我的值，但我会在浏览器中收到 404 消息。

我可以手动将“/forms/login.fcc”页面放在地址行中，并且 GET 呈现 login.fcc 页面没有问题。但我当然不想呈现我想执行 Siteminder 登录（通过 POST）的 login.fcc (GET)。

我的理解是，所有请求参数都可以通过我期望这工作的转发过程获得。

我可以采用相同的表单并将其取消 JSF 化...并使登录按钮只需提交表单（其操作将是 /forms/login.fcc 通过 POST 并且它也可以正常工作，但随后我松开了JSF 提供的表单/字段验证的好处。

有任何想法吗？

我是一名新开发人员，我被分配了找出为什么我们的注销功能不起作用的任务。我已经尝试了我能找到的所有可能的方法。下面是我保留的日志，其中包括我使用过的方法。

1. 在 CommonHeader.ascx 表单中添加了一个注销按钮

2. 在 logout.aspx.vb 表单中尝试了许多方法来让它结束或清除会话，但它们都不起作用。

一个。以 logout.aspx.vb 形式定义的 ClearSession 子例程：

湾。还将它添加到 Page_Load 子例程的顶部：

C。还将 ClearSession 子例程更改为Session.Contents.Remove("Variable")fromSession("Variable") = ""

这些方法都不起作用。我们使用Siteminder，我一直想知道这是否是问题的根源。我只是在清除使用Siteminder的 Session 时找不到任何东西。另请记住，此应用程序是使用 Visual Studio 2003 编码的。

这是我在 ascx 文件中使用的按钮的代码：

athp:TopNavText Title="注销" NavigateUrl="logout.aspx" Target="_top"/

然后在“logout.aspx”表单上，我尝试使用上述方法之一或每种方法的组合。这是我接触之前的代码：

我是站点管理员的新手。我需要构建一个 ASP.Net MVC 应用程序并使用 siteminder 进行单点登录过程。如果有人能指导我正确的方向，那就太好了。寻找教程或真实世界的示例应用程序。

我被这个问题难住了，并为我的问题向专家们提出了建议。

我有一个启用了 Siteminder 的 ASP.NET MVC 应用程序。此外，此应用程序有一部分 URL，它们是向另一个应用程序提供数据的 Web 服务。这些 URL 已在 Siteminder 设置中配置为“绕过”Siteminder 身份验证。我已经仔细检查了绕过以确保 Siteminder 配置正确。我可以在浏览器中输入这些 URL，并且 JSON 数据显示为“没有”Siteminder 身份验证。然而....

问题是当我使用 HttpWebResponse、Stream 和 StreamReader 在启用站点管理器时检索 JSON 数据时，当调用 StreamReader.ReadToEnd() 而不是 JSON 格式的数据时，我将站点管理器“登录页面 HTML”作为字符串？

这令人费解，因为我这里的另一个开发人员可以访问相同的 Web 服务并在 PYTHON 应用程序中获取“正确”的 JSON 格式数据。另外，我把它放在一个普通的 ASP.NET 应用程序中，所以它不是 MVC 问题。我得到相同的结果。

我应该使用另一个类或库吗？我需要将配置设置传递给 Web 服务调用吗？任何帮助将不胜感激。

这是其中一个 Web 服务调用的代码。

我正在尝试将 Oracle Apex 与 CA Siteminder 提供的 SSO 集成。Apex 附带的 Apache 与我们组织中的 Siteminder 版本不兼容。我需要确保会话管理正常工作，还需要从环境变量中读取一些项目，这些项目在成功登录后由 SiteMinder 设置，例如员工编号。有没有办法通过 reverse_proxy 允许转发动态设置的环境变量？

TIA，索拉布

tl;dr 我们有一个 Apex 实例，我想在其中实施 Siteminder SSO。Apex 附带的 apache 与 Siteminder 二进制不兼容 :-( 。有没有办法通过 reverse_proxy (或任何其他) ，以便我可以在外部 apache 上进行身份验证，然后重定向到 Apex，并带有一些环境变量？

我有任何 Fcc 文件，其中包含一些隐藏变量，测试团队正在使用参数TARGET=-SM-http%3a%2f%2fgrow%2egoogle%2ecom%2f%22%20%73%54%79%4c% 进行攻击65%3d%58%3a%65%58%70%52%65%53%73%49%6f%4e%28%61%6c%65%72%74%28%34%37%36%38% 33%29%29%20%22 使目标变量如下所示

INPUT type='hidden' name='target' value='' STYLE= xss:expression(alert('attack alert'))" ' 这将导致有限循环中的警报消息

我的表单包含一些表单值，其中隐藏 name="target" value="$$target$$" name="smauthreason" value="$$smauthreason$$"

这些表单值将分配给表单元素

那么如何避免xss攻击问题

在我的应用程序代码中，我使用这种 url 将用户从一个页面重定向到另一个页面：http://myhost:8001/myapp/list.jsp?name=abc'd&age=10 这里的 name 是用户可以在第一页上编辑的动态字段，其中可以包含单引号。

现在的问题是，当我使用 siteminder 进行身份验证时，每个 url 都会通过它。并且 siteminder 将此单引号视为此类攻击的尝试并阻止此 url 并将用户带到某些访问被阻止的页面。

我该如何解决这个问题？

我在集成 SiteMinder 和 ASP.NET 时遇到问题。

传入请求的观察行为是：

1. Global.asax:Application_AuthenticateRequest 运行
2. SiteMinder WebAgent 运行

我的客户站点管理员支持团队的理解是，预期的行为绝对应该是：

1. SiteMinder WebAgent 运行
2. Global.asax:Application_AuthenticateRequest 运行

siteminder webagent 处理程序肯定被配置为 web.config 中的第一个句柄。

所以......我的问题是：

1. 任何人都可以确认/否认预期的行为（最好带有文档链接）
2. 任何人都可以指出有关如何跟踪 Web 处理程序执行的资源（理想情况下，我想 100% 确定哪些/如何/何时各个 http 模块参与了请求）

在处理 SiteMinder 方面的任何一般性建议也将不胜感激:)

谢谢！！

我们的系统是一个与 Siteminder 交互的网关，用于身份验证和连接到后端系统。Siteminder 在标头中返回 SMSESSION 和 SMIDENTITY。如何从 SMSESSION 中检索用户 ID。The format is as below: SMSESSION=dQtTYNjolqkVPoblyV2iUYzlaffxweO7jwHdbC8R8HCRzyuR2E6we22hBEdfOquw4Wx4V2Ly6tuTq7DctZXBpiUVOqYr1htSKExdDauUYD0Eh+jmdw9yBSSjkUm/nlDd6iFizN2zeyBAGda7jgHbyvKCB0T54ZrFFEMTd1jdJfiOJS0q6c

我试图手动获取编码的字符串并对其进行解码，但它没有让我获得用户 ID。如何从 SMSESSION 获取用户 ID？

谢谢，

我们正在为我们的网站使用 SiteMinder 安全代理。问题是我们网站的某些部分需要匿名身份验证。例如 ClickOnce 安装程序和一些 WCF 服务。我正在调查proxyrules.xml，希望我能做一些事情nete:case，但似乎并非如此。如果有人能指出我正确的方向，我将不胜感激。

这又是我需要的：

• / - sso
• /test/ - sso
• /wcf/ - 匿名

我该如何/wcf排除？

** 更新 ** 我找到IgnoreUrl了我的 WebAgent 的参数，但由于某种原因它没有被应用，我仍然被要求输入用户名和密码