问题标签 [webseal]

我有一个本地 IOS 应用程序，它连接到 Webseal 6.1 后面的后端。这最初是针对 IOS 7 编写的，并且大量使用 NSURLConnection 与后端服务器进行通信。

在我将设备升级到 IOS 9 之前，此应用程序运行良好。所以我调查了导致问题的原因，我发现这是因为 IOS 9 中引入的 App Transport Security 强制应用程序连接到后端使用 TLS 1.2 连接协议。

我花了几个小时寻找这个问题的解决方案，它总是引导我找到以下解决方案：

上面的 info.plist 添加没有解决问题并且正在返回CFNetwork SSLHandshake failed (-9824)。所以我搜索了更多答案，我发现还有另一个可以使用的密钥。所以我在plist中添加了以下内容。 NSTemporaryExceptionRequiresForwardSecrecy并设置为NO。SSL 错误仍然是他们的错误代码CFNetwork SSLHandshake failed (-9801)。

我偶然发现的另一个博客提到不应使用密钥，temporary因为这是为 IOS 9 Beta 设计的，因此我通过删除temporary: from NSTemporaryExceptionAllowsInsecureHTTPLoadsto NSExceptionAllowsInsecureHTTPLoads、 NSTemporaryExceptionMinimumTLSVersiontoNSExceptionMinimumTLSVersion和NSTemporaryExceptionRequiresForwardSecrecytoNSExceptionRequiresForwardSecrecy来更改密钥，但无济于事。

我尝试了上述属性的键和值的不同组合，但错误仍然相同。

我发现的另一个解决方案是关闭 IOS 9 严格的传输检查。

但这也行不通。现在我被这个问题困住了，我的应用程序不可用。

我知道可以通过修复我的后端以使用 TLS 1.2 进行传输来解决此问题，但现在这不是一个选项。目前唯一可以接受的是修改客户端应用程序。

我希望有人可以指出任何缺失的配置以使我的应用程序正常工作。谢谢你。

有人用 TAM Web-seal 做过春季预认证吗？可以分享一下配置细节吗？

我写了下面的代码来确定远程套接字是否是 SSL/TLS。我正在发送内容类型为BEEP+XML的以下消息。

在响应中，我得到了响应字节“128 3 0 0 1 -1 -1”。在这里，TLS/SSL 消息类型是128，但我不知道 128 代表什么消息类型。

我发现下面的链接列出了可能的消息类型 ID，但在其中找不到 128。 http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx

任何人都可以分享他们对此事的了解。

我正在尝试通过此代码连接到 Webseal 反向代理。

我正在编写一个 EAI（外部身份验证接口）解决方案，为某些应用程序提供登录/注销页面

我们目前有一个 F5 负载平衡器，它位于两个 WebSEAL 6.1 反向代理前面，然后平衡在 WebSphere Application Server 8.0.0.10 上运行的两个应用程序之间的请求

登录页面由 JSF 2.0.6 应用程序提供，并使用客户端状态保存，因此我们没有会话超时

这些页面还使用请求范围的 bean，以尽可能接近无状态，因为我不能使用 JSF 2.2 来使用真正的无状态标志

我们发现了以下场景的问题，并且正在努力提出解决方案

1. 客户在浏览器中进入登录页面。WebSEAL 将它们发送到 WebSphere 服务器之一
2. 然后客户提交表单，但 WebSEAL 将新请求发送到不同的 WebSphere 服务器
3. 客户遇到错误但被重定向到空白登录页面

我们正在使用 OmniFaces FullAjaxExceptionHandler 来捕获在步骤 2 中生成的 View Expired 错误

我们还能够通过强制 WebSEAL 重定向两个 WebSphere 服务器之间的流量并模拟场景来重新创建错误

这个问题似乎是因为来自一个 WebSphere 服务器的视图状态与另一个 WebSphere 服务器不兼容，这是有道理的

出于我们的目的，我们只需要提交的表单详细信息来登录用户，我们这边不需要视图状态

有没有办法让一台服务器的客户端视图状态兼容或与另一台服务器一起工作？

对此问题的任何帮助将不胜感激。

我想测试使用 TAM 保护的肥皂网络服务。

如果以前有人这样做过，请告诉我我需要在 SOAP UI SIDE（5.2 版）上进行的设置。

我尝试设置用户名和密码，但无法访问该服务。

得到以下 html 表单作为响应

由 mobilefirst cli 7.1 制作的混合 android 应用程序没有从具有 webseal 连接的 UAT 环境中的 mobilefirst 服务器获取授权令牌，因此后续适配器调用失败，因为这些调用返回 401 未授权，这很有趣的是由相同的客户端混合代码制成的 ios 应用程序在具有 webseal 的相同 UAT 环境中运行良好。

另一个有趣的事实是，当指向没有 webseal 的 SIT 环境时，相同的 android 应用程序可以正常工作。

因此，我试图了解是什么触发了客户端（WLHybridRequestSender）发送“/authorization/v1/token”调用，并且 webseal 是否有机会过滤对前面调用“token”调用的任何响应，这就是中断客户端代码？如果是这样，我应该在哪里寻找什么来解决这个问题？

非常感谢任何建议或帮助！

谢谢

我正在实施 WebSeal 单点登录，这样如果用户已经通过 Windows 身份验证登录，用户就不必输入特定 Web 应用程序的凭据。谁能指出我正确的方向。我是 Web Seal 的新手

1) 应用程序类型：手机银行
2) 现有 Worklight 版本：6.1 (Consumer Edition)
3) Cordova 版本：3.1.0
4) 支持平台：Android 4.2+、iOS 7+
5) 服务器操作系统：Window Server 2008
6) 应用程序服务器: IBM WebSphere Liberty Profile
7) 数据库: IBM DB2

应用程序是使用自定义挑战处理程序实现的，以对来自 IBM WebSeal 的用户进行身份验证，ChallengeHandler 向 IBM WebSeal 触发 HTTPS 请求以执行以下操作：

1. 从 IBM WebSeal 获取登录参数（例如登录页面类型、登录表单提交 URL）
2. 交换加密密钥（在 HTTPS 之上，银行要求使用 jCryption 进一步加密流量）
3. 提交加密的用户名/密码

上述所有步骤都是使用 jQuery 的 ajax()、post() 或 getJson() 函数实现的，它在上述设置中完美运行。

问题
Worklight 6.1 升级到 MobileFirst 7.1 后，上述身份验证方法不再适用于 Android 设备，而 iOS 仍按预期工作。

在花了几天时间对详细的请求和响应日志进行故障排除之后，我们得出的结论是，在 jQuery 的 ajax() post() 和 MobileFirst HTTP 请求之间，Android 具有不同的 Cookie 管理上下文。

示例：
通过使用 WLJQ.ajax(... myUrl ...) 生成 Set-Cookie 响应，当请求在匹配域中时，Cookie 将自动附加到所有子序列 ajax 请求。

但是来自 ajax() 请求的 Set-Cookies 响应标头不会影响以下 MobileFirst HTTP 请求函数： 1. ChallengeHandler.submitLoginForm
2. WL.Client.invokeProcedure
3. WL.Client.login

我们的 ChallengeHandler 使用 cookie 值对用户进行身份验证并记住用户，但由于 cookie 不会在 MobileFirst 和 jQuery 之间共享，因此 IBM WebSeal 将阻止对 WL.Client.InvokeProcedure 的调用，因为请求被识别为未经身份验证用户。

我们还观察到 jQuery ajax/post 的用户代理与上述 MobileFirst 函数有很大不同：

MobileFirst 用户代理：Dalvik/2.1.0 (Linux; U; Android 6.0.1; SM-G925F Build/MMB29K)/Worklight/7.1.0.0 WLNativeAPI(zerolte; MMB29K.G925FXXU3DPCN; SM-G925F; SDK 23; Android 6.0 .1)

jQuery（在三星 Galaxy S6 上运行）
用户代理：Mozilla/5.0（Linux；Android 6.0.1；SM-G925F Build/MMB29K；wv）AppleWebKit/537.36（KHTML，如 Gecko）版本/4.0 Chrome/49.0.2623.105 移动Safari/537.36/Worklight/7.1.0.0

故障排除总结
1) 更新安卓的 CookieManager 以接受第三方 cookie

CookieManager cookieManager = CookieManager.getInstance(); cookieManager.setAcceptThirdPartyCookies(webView, true);

2) 使用 WL.Client.setCookie 从 jQuery post() 手动检索 cookie 值并附加到 MobileFirst 函数

但由于浏览器限制，我们无法检索 Set-Cookie 标头值

3) 将所有 jQuery 调用转换为使用 challengeHandler.submitLoginForm，但是使用这种方法，MobileFirst 会话在每次调用上述代码后都会重置，因此它仍然无法正常工作。

您好，我指的是以下链接：1. 创建证书颁发机构 (CA)，2. 使用 CA 颁发服务器证书，以及 3. 在 IBM Security Access Manager 中将 CA 根证书分发给客户端。 http://www.ibm.com/developerworks/security/tutorials/se-gskit/

但是，现在我有 IBM Security Access Manager for Web 8.0.1 并且使用 WebUI 我需要管理它。

任何人都可以拥有适当的文档、链接或解决方案，使用它们我可以像使用 GSKit 一样做。

尝试连接到 webseal saml 端点时出现以下错误

我的服务器设置为 SP，我正在尝试针对我在 saml20-idp-remote.php 中设置的 IDP 进行身份验证

重定向工作正常，但是当 IDP 重定向回我的 SP 时，我收到以下错误。

如何在我的配置文件中更改主题确认数据中的收件人 URL。

我的配置文件如下。

SAML2.0 Idp 远程配置

干杯