CDSSO、策略代理和 amlbcookie

Posted 2023-04-13

【中文标题】CDSSO、策略代理和 amlbcookie

【英文标题】：CDSSO, policy agents and the amlbcookie

【发布时间】：2016-09-20 18:49:28

【问题描述】：

我想知道 amlbcookie 和粘性会话如何与策略代理一起工作，特别是在 CDSSO 环境中。

我了解，在常规 SSO 实施中，受保护的应用程序以及 Web 代理与 OpenAM 部署位于同一域中，Web 代理将有权访问 amlbcookie 并可以读取值或只是传递在会话验证期间向 OpenAM 发送 cookie。

但是，这在 CDSSO 情况下如何工作？在这种情况下，策略代理无权访问 amlbcookie，因为它位于不同的域（OpenAM 域）中。我了解策略代理将从 LARES POST 中读取会话 ID。

在 LARES POST 中是否也传递了 amlbcookie 值？这就是 com.sun.identity.agents.config.postdata.preserve.lbcookie 属性的用途吗？

【参考方案1】：

在进行一些研究并与供应商合作后，我了解到，目前，策略代理不会在 CDSSO 工作流程中传递 amlbcookie。在以下链接中有一个错误打开： https://bugster.forgerock.org/jira/browse/OPENAM-2396

但是，颁发令牌的权威服务器会将其服务器 ID 存储为会话值的一部分。 http://blogs.forgerock.org/petermajor/2015/08/sessions/

Policy Agent 将从令牌中提取服务器 id，并可以创建 amlbcookie，或者 OpenAM 服务器可以从令牌中读取权威服务器 id。

因此，LARES 帖子无需同时传递 amlbcookie，因为派生它所需的所有信息都在会话令牌中。