猎户联邦安全
Orion Federation Security
让我们假设一个场景,我们有两个 Orion 部署在不同的云基础设施中。这些猎户座每个都在 PEP (Wilma) 后面,没有授权就无法访问它们。
- 是否可以通过 PEP 联合这些猎户座?
- 如果 Orion2 (O2) 是 Orion1 (O1) 的上下文提供者,当 O1 用户向 O1 请求 queryContext 时,访问令牌会传播到 O2 吗?
是的,x-auth-header 中的访问令牌在转发的请求中传播,因此您提出的方案(名为 "pull" federation)应该有效。
EDIT:接收传播请求的 CB 是否使用由发送 CB 的相同安全框架管理的 PEP(换句话说,两个 CB 的 PEP 共享相同的安全框架) IDM/AC 实例)然后联合是自动的。如果 CB 不共享相同的 IDM/AC 实例,那么您需要中间的一些部分(代理)能够将发送 CB 中有效的 x-auth-header 转换为有效的 x-auth-token接收 CB(代理应与管理接收 CB 的 IDM 交互)。
让我们假设一个场景,我们有两个 Orion 部署在不同的云基础设施中。这些猎户座每个都在 PEP (Wilma) 后面,没有授权就无法访问它们。
- 是否可以通过 PEP 联合这些猎户座?
- 如果 Orion2 (O2) 是 Orion1 (O1) 的上下文提供者,当 O1 用户向 O1 请求 queryContext 时,访问令牌会传播到 O2 吗?
是的,x-auth-header 中的访问令牌在转发的请求中传播,因此您提出的方案(名为 "pull" federation)应该有效。
EDIT:接收传播请求的 CB 是否使用由发送 CB 的相同安全框架管理的 PEP(换句话说,两个 CB 的 PEP 共享相同的安全框架) IDM/AC 实例)然后联合是自动的。如果 CB 不共享相同的 IDM/AC 实例,那么您需要中间的一些部分(代理)能够将发送 CB 中有效的 x-auth-header 转换为有效的 x-auth-token接收 CB(代理应与管理接收 CB 的 IDM 交互)。