2016-09-20 9 views
0

Мне было интересно, как amlbcookie и липкие сессии работают с агентами политики, особенно в среде CDSSO.CDSSO, агенты политики и amlbcookie

Я понимаю, что в обычной реализации единого входа, где защищенное приложение и, следовательно, веб-агент находится в том же домене, что и при развертывании OpenAM, веб-агент будет иметь доступ к amlbcookie и может прочитать значение или просто пройти в cookie для OpenAM во время проверки сеанса.

Однако, как это работает в ситуации с CDSSO? В этом случае агент политики не имеет доступа к amlbcookie, поскольку он находится в другом домене (домен OpenAM). Я понимаю, что агент политики прочитает идентификатор сеанса из LARES POST.

Является ли значение amlbcookie пройденным также в LARES POST? Это свойство com.sun.identity.agents.config.postdata.preserve.lbcookie?

ответ

0

После проведения некоторых исследований и работы с поставщиком я узнал, что прямо сейчас агенты политики не передают amlbcookie в рабочий процесс CDSSO. Для этого есть ошибка: https://bugster.forgerock.org/jira/browse/OPENAM-2396

Однако авторитарный сервер, выпустивший токен, сохранит свой идентификатор сервера как часть значения сеанса. http://blogs.forgerock.org/petermajor/2015/08/sessions/

Агент политика будет извлечь идентификатор сервера из маркеров, и может создать amlbcookie или сервер OpenAM может читать авторитетный идентификатор сервера из маркеров.

Таким образом, сообщение LARES не требуется, чтобы передать сообщение amlbcookie, поскольку вся информация, необходимая для его получения, находится в токене сеанса.