'Disabling' Liberty 服务器中的 LTPA 内容 - 我是否遗漏了什么?
'Disabling' LTPA things in a Liberty server - am I missing something?
我正在研究 Liberty 中 'disabling' LTPA 事物的概念,并希望得到一些指导。我追求两个想法——首先,是否有可能阻止 Liberty 服务器生成 LTPA 密钥?其次,是否可以阻止 Liberty 服务器向客户端浏览器发送 LTPA token/cookie?
在制作此 post 之前,我浏览了 Liberty 文档。 Liberty KC 中的这个主题 https://www.ibm.com/support/knowledgecenter/en/SSEQTP_liberty/com.ibm.websphere.wlp.doc/ae/twlp_sec_ltpa.html 陈述如下 - "The LTPA is configured by default when security is enabled for a Liberty server for the first time." 这很清楚,只要我为 Liberty 服务器启用了安全性,它就会生成 LTPA 密钥;在 Liberty 服务器中禁用安全性对我来说不是一个选项。所以我不相信我可以阻止 Liberty 服务器在我的特定环境中生成 LTPA 密钥。
至于防止 Liberty 服务器向客户端浏览器发送 LTPA token/cookie,Liberty 服务器似乎存在一个名为 disableLtpaCookie 的属性。但是,根据 Liberty 文档,我只能在两种情况下使用 disableLtpaCookie 属性 - 当我使用 OpenID Connect Client https://www.ibm.com/support/knowledgecenter/en/SSEQTP_liberty/com.ibm.websphere.liberty.autogen.base.doc/ae/rwlp_config_openidConnectClient.html OR when I am using SAML Web SSO 2.0 Authentication https://www.ibm.com/support/knowledgecenter/en/SSEQTP_liberty/com.ibm.websphere.liberty.autogen.base.doc/ae/rwlp_config_samlWebSso20.html 时。如果我没有实现这两种身份验证机制中的任何一种,那么我就无法使用 disableLtpaCookie 属性...因此我无法阻止 Liberty 服务器向客户端浏览器发送 LTPA token/cookie。
我错过了什么吗?有没有一种方法可以防止 Liberty 服务器生成 LTPA 密钥,或者有一种方法可以防止 Liberty 服务器将 LTPA token/cookie 发送到我尚未通过 Liberty 文档发现的客户端浏览器?
非常感谢任何和所有指导,并提前感谢您!
表单登录和单点登录需要 LTPA cookie 才能开箱即用。如果您完全依赖其他身份验证 mechanisms/tokens 来实现这些(SAML、自定义、OIDC 等),并且没有理由使用 LTPA cookie,则可以在 webAppSecurity 元素中将 singleSignonEnabled 属性设置为 false。
这应该可以防止将 LTPACookie 发送到浏览器。 LTPA 密钥仍会生成。
我们可以更新此 属性 的描述,使其更加清晰@ https://www.ibm.com/support/knowledgecenter/SSAW57_liberty/com.ibm.websphere.liberty.autogen.nd.doc/ae/rwlp_config_webAppSecurity.html
您可以打开一个问题来选择禁用 LTPA 密钥的创建。
在此 question/thread - 中作出以下声明:
Liberty openid connect 客户端可以配置为使用 ltpa 到期时间作为会话时间,或使用 id_token 生命周期作为会话时间。默认行为是 ltpa 过期时间。
我无法找到清晰的 Liberty 文档来解释如何配置 Liberty openid 连接客户端以使用 id_token 生命周期作为会话时间....非常感谢任何指导:-)
我正在研究 Liberty 中 'disabling' LTPA 事物的概念,并希望得到一些指导。我追求两个想法——首先,是否有可能阻止 Liberty 服务器生成 LTPA 密钥?其次,是否可以阻止 Liberty 服务器向客户端浏览器发送 LTPA token/cookie?
在制作此 post 之前,我浏览了 Liberty 文档。 Liberty KC 中的这个主题 https://www.ibm.com/support/knowledgecenter/en/SSEQTP_liberty/com.ibm.websphere.wlp.doc/ae/twlp_sec_ltpa.html 陈述如下 - "The LTPA is configured by default when security is enabled for a Liberty server for the first time." 这很清楚,只要我为 Liberty 服务器启用了安全性,它就会生成 LTPA 密钥;在 Liberty 服务器中禁用安全性对我来说不是一个选项。所以我不相信我可以阻止 Liberty 服务器在我的特定环境中生成 LTPA 密钥。
至于防止 Liberty 服务器向客户端浏览器发送 LTPA token/cookie,Liberty 服务器似乎存在一个名为 disableLtpaCookie 的属性。但是,根据 Liberty 文档,我只能在两种情况下使用 disableLtpaCookie 属性 - 当我使用 OpenID Connect Client https://www.ibm.com/support/knowledgecenter/en/SSEQTP_liberty/com.ibm.websphere.liberty.autogen.base.doc/ae/rwlp_config_openidConnectClient.html OR when I am using SAML Web SSO 2.0 Authentication https://www.ibm.com/support/knowledgecenter/en/SSEQTP_liberty/com.ibm.websphere.liberty.autogen.base.doc/ae/rwlp_config_samlWebSso20.html 时。如果我没有实现这两种身份验证机制中的任何一种,那么我就无法使用 disableLtpaCookie 属性...因此我无法阻止 Liberty 服务器向客户端浏览器发送 LTPA token/cookie。
我错过了什么吗?有没有一种方法可以防止 Liberty 服务器生成 LTPA 密钥,或者有一种方法可以防止 Liberty 服务器将 LTPA token/cookie 发送到我尚未通过 Liberty 文档发现的客户端浏览器?
非常感谢任何和所有指导,并提前感谢您!
表单登录和单点登录需要 LTPA cookie 才能开箱即用。如果您完全依赖其他身份验证 mechanisms/tokens 来实现这些(SAML、自定义、OIDC 等),并且没有理由使用 LTPA cookie,则可以在 webAppSecurity 元素中将 singleSignonEnabled 属性设置为 false。
这应该可以防止将 LTPACookie 发送到浏览器。 LTPA 密钥仍会生成。
我们可以更新此 属性 的描述,使其更加清晰@ https://www.ibm.com/support/knowledgecenter/SSAW57_liberty/com.ibm.websphere.liberty.autogen.nd.doc/ae/rwlp_config_webAppSecurity.html
您可以打开一个问题来选择禁用 LTPA 密钥的创建。
在此 question/thread -
Liberty openid connect 客户端可以配置为使用 ltpa 到期时间作为会话时间,或使用 id_token 生命周期作为会话时间。默认行为是 ltpa 过期时间。
我无法找到清晰的 Liberty 文档来解释如何配置 Liberty openid 连接客户端以使用 id_token 生命周期作为会话时间....非常感谢任何指导:-)