我有一個連接到BlueMix SSO服務的本地Liberty Profile實例正在運行。身份驗證似乎正在工作,但我沒有得到在我的主題填充組。BlueMix SSO雲目錄組映射安全角色不起作用
在我basicRegistry我得到這個用表格Authc:
com.ibm.ws.security.credentials.wscred.WSCredentialImpl [email protected],realmName=BasicRealm,securityName=user1,realmSecurityName=BasicRealm/user1,uniqueSecurityName=user1,primaryGroupId=group:BasicRealm/admin,accessId=user:BasicRealm/user1,groupIds=[group:BasicRealm/admin]
當我對BlueMix SSO雲目錄認證authc我得到這個:
com.ibm.ws.security.credentials.wscred.WSCredentialImpl [email protected],realmName=www.ibm.com,securityName=<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,realmSecurityName=www.ibm.com/<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,uniqueSecurityName=<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,primaryGroupId=null,accessId=user:www.ibm.com/<ssoservice-name>.iam.ibmcloud.com/www.ibm.com/user1,groupIds=[]
但我可以看到它越來越到雲目錄,因爲我可以看到羣體回來的ID令牌詳細信息: 理賠
{"ext":"{\"tenantId\":\"<ssoservice-name>.iam.ibmcloud.com\",\"groups\":[\"allUsers\",\"admin\"],
我已經嘗試了一些不同的映射來得到這些團體了,但我一直沒能弄明白,我已經用完了數據倉庫技術和谷歌搜索:
<security-role name="admin"><group name="admin" access-id="group:www.ibm.com/admin"></group></security-role>
是否有可能得到正確的配置正確地填充我的主題聲明組?我希望在我的授權方案中實際使用更多,只是ALL_AUTH_USERS。
<security-role name="authcUsers"><special-subject type="ALL_AUTHENTICATED_USERS"></special-subject></security-role>
更新:: 02JUL16 - 所以它似乎是能夠拿起特定用戶USER1下面被映射到管理角色,但最後SSO組映射仍然無法正常工作。
<security-role name="admin">
<user name="user1" access-id="user:www.ibm.com/<sso-service>.iam.ibmcloud.com/www.ibm.com/user1"/>
<group name="admin" access-id="group:BasicRealm/admin"/>
<group name="admin" access-id="group:www.ibm.com/<sso-service>.iam.ibmcloud.com/www.ibm.com/admin"/>
問候, 約翰
感謝您的信息。看起來像是@RolesAllowed(「authcUsers」),打破了JAAS和/或JEE安全性的大多數好處。當然,如果這是暫時的實施差距或Bluemix SSO的長期方向,那麼很好,因爲映射每個用戶不適用於除ALL_AUTHENTICATED_USERS以外的任何其他用戶。我想我的計劃是使用@Interceptors(SecurityInterceptor.class)來檢查正常的JAAS Subject組成員資格,如果沒有找到,請檢查ID Token Claims組列表中列出的組成員資格或拒絕。感謝你的寶貴時間。 –
是的,這是目前的限制。 –