CDSSO、策略代理和 amlbcookie
Posted
技术标签:
【中文标题】CDSSO、策略代理和 amlbcookie【英文标题】:CDSSO, policy agents and the amlbcookie 【发布时间】:2016-09-20 18:49:28 【问题描述】:我想知道 amlbcookie 和粘性会话如何与策略代理一起工作,特别是在 CDSSO 环境中。
我了解,在常规 SSO 实施中,受保护的应用程序以及 Web 代理与 OpenAM 部署位于同一域中,Web 代理将有权访问 amlbcookie 并可以读取值或只是传递在会话验证期间向 OpenAM 发送 cookie。
但是,这在 CDSSO 情况下如何工作?在这种情况下,策略代理无权访问 amlbcookie,因为它位于不同的域(OpenAM 域)中。我了解策略代理将从 LARES POST 中读取会话 ID。
在 LARES POST 中是否也传递了 amlbcookie 值?这就是 com.sun.identity.agents.config.postdata.preserve.lbcookie 属性的用途吗?
【问题讨论】:
【参考方案1】:在进行一些研究并与供应商合作后,我了解到,目前,策略代理不会在 CDSSO 工作流程中传递 amlbcookie。在以下链接中有一个错误打开: https://bugster.forgerock.org/jira/browse/OPENAM-2396
但是,颁发令牌的权威服务器会将其服务器 ID 存储为会话值的一部分。 http://blogs.forgerock.org/petermajor/2015/08/sessions/
Policy Agent 将从令牌中提取服务器 id,并可以创建 amlbcookie,或者 OpenAM 服务器可以从令牌中读取权威服务器 id。
因此,LARES 帖子无需同时传递 amlbcookie,因为派生它所需的所有信息都在会话令牌中。
【讨论】:
以上是关于CDSSO、策略代理和 amlbcookie的主要内容,如果未能解决你的问题,请参考以下文章
面试系列16 dubbo负载均衡策略和集群容错策略都有哪些?动态代理策略呢