1. ホーム
  2. 質問と答え
  3. BlueMix SSOクラウドディレクトリグループマッピングのセキュリティロールが機能しない

BlueMix SSOクラウドディレクトリグループマッピングのセキュリティロールが機能しない

2016-07-02 6 views
0

BlueMix SSOサービスに接続されているローカルのLiberty Profileインスタンスを実行しています。認証が機能しているように見えますが、私のサブジェクトにグループが追加されていません。私basicRegistryでBlueMix SSOクラウドディレクトリグループマッピングのセキュリティロールが機能しない

私は、この使用してフォームauthcは取得:

私はこの取得authcは私がBlueMix SSOクラウドディレクトリに対して認証 
com.ibm.ws.security.credentials.wscred.WSCredentialImpl [email protected],realmName=BasicRealm,securityName=user1,realmSecurityName=BasicRealm/user1,uniqueSecurityName=user1,primaryGroupId=group:BasicRealm/admin,accessId=user:BasicRealm/user1,groupIds=[group:BasicRealm/admin] 


com.ibm.ws.security.credentials.wscred.WSCredentialImpl [email protected],realmName=www.ibm.com,securityName=<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,realmSecurityName=www.ibm.com/<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,uniqueSecurityName=<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,primaryGroupId=null,accessId=user:www.ibm.com/<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,groupIds=[]

しかし、私はそれがなっていることがわかりますがIDのトークンに戻ってくるグループがわかるように、クラウドディレクトリに移動します。詳細: クレーム

{"ext":"{\"tenantId\":\"<ssoservice-name>.iam.ibmcloud.com\",\"groups\":[\"allUsers\",\"admin\"],

私はこれらのグループを取得するには、いくつかの異なるマッピングを試してみましたが、私はそれを把握することができていないと私はdWががなくなってきたと検索をグーグル:

<security-role name="admin"><group name="admin" access-id="group:www.ibm.com/admin"></group></security-role>

は正しいを取得することは可能ですサブジェクトのグループを宣言的に正しく埋め込むための構成ですか?私は実際には、ALL_AUTH_USERSだけを私の認証スキームで使用することを望んでいます。

<security-role name="authcUsers"><special-subject type="ALL_AUTHENTICATED_USERS"></special-subject></security-role>

UPDATE :: 02JUL16 - だから、特定のユーザーを拾うことができるようですが、以下の管理ロールにマップされたUSER1が、最後のSSOグループマッピングはまだ動作しません。

<security-role name="admin"> 
      <user name="user1" access-id="user:www.ibm.com/<sso-service>.iam.ibmcloud.com/www.ibm.com/user1"/> 
      <group name="admin" access-id="group:BasicRealm/admin"/> 
      <group name="admin" access-id="group:www.ibm.com/<sso-service>.iam.ibmcloud.com/www.ibm.com/admin"/>

よろしく、 ジョン

出典

2016-07-02 john.cairns

答えて

0

グループの役割は、現在のBluemix SSOサービスではサポートされていません。ユーザーの役割に関するあなたの見解は正しいです。ユーザーロール認可を行うことができます。このリンクは、ユーザーがアクセスを許可するために指定する必要がある形式を示します。 - >https://www.ibm.com/support/knowledgecenter/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.doc/ae/rwlp_config_authorization-roles.html

出典

2016-07-05 15:34:38

+0

ありがとうございます。 @RolesAllowed( "authcUsers")のようなJAASやJEEセキュリティのほとんどの利点を壊すようです。これが一時的な実装のギャップか、Bluemix SSOの長期的な方向であるかどうかを知ることは、それぞれのユーザーがALL_AUTHENTICATED_USERS以外のものでは機能しないので、うれしいことです。私は@Interceptors(SecurityInterceptor.class)を使用して、通常のJAASサブジェクトグループメンバーシップをチェックし、見つからなければそこにリストされているグループメンバーシップのIDトークンクレームをチェックするか、拒否します。あなたの時間をもう一度ありがとう。 –

+0

はい、これは現在の制限です。 –

関連する問題

 関連する問題