2. 질의 응답
  3. BlueMix SSO Cloud 디렉토리 그룹 매핑 보안 역할이 작동하지 않습니다.

BlueMix SSO Cloud 디렉토리 그룹 매핑 보안 역할이 작동하지 않습니다.

2016-07-02 2 views
0

BlueMix SSO 서비스에 연결된 로컬 Liberty Profile 인스턴스가 실행 중입니다. 인증이 작동하는 것 같지만 내 주제에 그룹이 채워지지 않습니다. 내 basicRegistry에서BlueMix SSO Cloud 디렉토리 그룹 매핑 보안 역할이 작동하지 않습니다.

나는이 사용하는 양식 Authc 수 :

나는이 얻을 authc 나는 BlueMix SSO 클라우드 디렉토리에 대해 인증 
com.ibm.ws.security.credentials.wscred.WSCredentialImpl [email protected],realmName=BasicRealm,securityName=user1,realmSecurityName=BasicRealm/user1,uniqueSecurityName=user1,primaryGroupId=group:BasicRealm/admin,accessId=user:BasicRealm/user1,groupIds=[group:BasicRealm/admin]

:

com.ibm.ws.security.credentials.wscred.WSCredentialImpl [email protected],realmName=www.ibm.com,securityName=<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,realmSecurityName=www.ibm.com/<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,uniqueSecurityName=<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,primaryGroupId=null,accessId=user:www.ibm.com/<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,groupIds=[]

하지만 그것은 점점 것을 볼 수 있습니다 ID로 돌아 오는 그룹을 볼 수있는 클라우드 디렉토리로 이동 세부 정보 : 클레임

{"ext":"{\"tenantId\":\"<ssoservice-name>.iam.ibmcloud.com\",\"groups\":[\"allUsers\",\"admin\"],

나는이 그룹을 얻을 수있는 몇 가지 다른 매핑을 시도했지만 나는 그것을 알아낼 수 없었던 나는 DW 부족했고 구글은 검색 :

<security-role name="admin"><group name="admin" access-id="group:www.ibm.com/admin"></group></security-role>

가 올바른을 가능한 얻을 수 있나요 내 주제에 대해 그룹을 선언적으로 제대로 채우려면 구성을 사용 하시겠습니까? 내 인증 체계에서 실제로 ALL_AUTH_USERS 이상을 사용하기를 희망합니다.

<security-role name="authcUsers"><special-subject type="ALL_AUTHENTICATED_USERS"></special-subject></security-role>

UPDATE : 02JUL16은 - 그래서 관리자 역할에 맵핑 된 아래 USER1을 특정 사용자를 선택할 수있을 것 같다,하지만 마지막 SSO 그룹 매핑은 여전히 ​​작동하지 않습니다.

<security-role name="admin"> 
      <user name="user1" access-id="user:www.ibm.com/<sso-service>.iam.ibmcloud.com/www.ibm.com/user1"/> 
      <group name="admin" access-id="group:BasicRealm/admin"/> 
      <group name="admin" access-id="group:www.ibm.com/<sso-service>.iam.ibmcloud.com/www.ibm.com/admin"/>

감사합니다, 존

출처

2016-07-02 john.cairns

답변

0

그룹의 역할은 현재 Bluemix SSO 서비스에서 지원되지 않습니다. 사용자 역할에 대한 귀하의 관찰이 정확했습니다. 사용자 역할 권한 부여를 수행 할 수 있습니다. 이 링크는 사용자가 액세스를 허용하도록 지정해야하는 형식을 알려줍니다. ->https://www.ibm.com/support/knowledgecenter/SSAW57_8.5.5/com.ibm.websphere.wlp.nd.doc/ae/rwlp_config_authorization-roles.html

출처

2016-07-05 15:34:38

+0

감사합니다. @RolesAllowed ("authcUsers")와 같은 JAAS 및/또는 JEE 보안의 대부분의 이점을 손상시키는 것 같습니다. 이것은 각 사용자가 ALL_AUTHENTICATED_USERS 이외의 다른 것을 위해 작동하지 않기 때문에 이것이 일시적인 구현 차이인지 또는 Bluemix SSO의 장기적인 방향인지를 아는 것이 좋습니다. 내 계획은 @Interceptors (SecurityInterceptor.class)를 사용하여 정상 JAAS Subject 그룹 구성원을 확인하고 발견되지 않은 경우 거기에 나열된 그룹 구성원에 대한 ID 토큰 클레임을 확인하거나 거부합니다. 시간 내 주셔서 다시 한번 감사드립니다. –

+0

예, 현재 제한 사항입니다. –

 관련 문제

  • 관련 문제 없음^_^