CDSSO、策略代理和 amlbcookie
CDSSO, policy agents and the amlbcookie
我想知道 amlbcookie 和粘性会话如何与策略代理一起工作,特别是在 CDSSO 环境中。
我了解在常规 SSO 实施中,受保护的应用程序以及 Web 代理与 OpenAM 部署位于同一域中,Web 代理可以访问 amlbcookie 并可以读取值或只是在会话验证期间将 cookie 传递给 OpenAM。
但是,这在 CDSSO 情况下如何运作?在这种情况下,策略代理无权访问 amlbcookie,因为它位于不同的域(OpenAM 域)中。我知道策略代理将从 LARES POST 读取会话 ID。
是否在 LARES POST 中也传递了 amlbcookie 值?这是 com.sun.identity.agents.config.postdata.preserve.lbcookie 属性 的用途吗?
在做了一些研究并与供应商合作后,我了解到现在,策略代理不会在 CDSSO 工作流程中传递 amlbcookie。在以下 link 处有一个为此打开的错误:
https://bugster.forgerock.org/jira/browse/OPENAM-2396
但是,颁发令牌的权威服务器会将其服务器 ID 存储为会话值的一部分。
http://blogs.forgerock.org/petermajor/2015/08/sessions/
Policy Agent 将从令牌中提取服务器 ID,并可以创建 amlbcookie,或者 OpenAM 服务器可以从令牌中读取权威服务器 ID。
因此,LARES post 不需要也传递 amlbcookie,因为导出它所需的所有信息都在会话令牌中。
我想知道 amlbcookie 和粘性会话如何与策略代理一起工作,特别是在 CDSSO 环境中。
我了解在常规 SSO 实施中,受保护的应用程序以及 Web 代理与 OpenAM 部署位于同一域中,Web 代理可以访问 amlbcookie 并可以读取值或只是在会话验证期间将 cookie 传递给 OpenAM。
但是,这在 CDSSO 情况下如何运作?在这种情况下,策略代理无权访问 amlbcookie,因为它位于不同的域(OpenAM 域)中。我知道策略代理将从 LARES POST 读取会话 ID。
是否在 LARES POST 中也传递了 amlbcookie 值?这是 com.sun.identity.agents.config.postdata.preserve.lbcookie 属性 的用途吗?
在做了一些研究并与供应商合作后,我了解到现在,策略代理不会在 CDSSO 工作流程中传递 amlbcookie。在以下 link 处有一个为此打开的错误: https://bugster.forgerock.org/jira/browse/OPENAM-2396
但是,颁发令牌的权威服务器会将其服务器 ID 存储为会话值的一部分。 http://blogs.forgerock.org/petermajor/2015/08/sessions/
Policy Agent 将从令牌中提取服务器 ID,并可以创建 amlbcookie,或者 OpenAM 服务器可以从令牌中读取权威服务器 ID。
因此,LARES post 不需要也传递 amlbcookie,因为导出它所需的所有信息都在会话令牌中。