通常设计和开发包括门户的JEE应用来提供RBAC功能。这需要组通过结合应用服务器配置的应用来完成角色映射。在SAML断言模型内,SP需要注明它是否会处理受保护应用中的组行为(见图3),用户需要成为IdP的本地(LDAP)库中的组员之意。通过SP验证器映射到JAASPrincipal对象的“组”属性将使断言被处理(见清单1)。
图3 清单1 有关传入用户的SAML断言元素 以下是引用片段:<Subject> <NameIdentifier Format=”urn:oasis:names:tc:SAML:1.1:nameid-……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
通常设计和开发包括门户的JEE应用来提供RBAC功能。这需要组通过结合应用服务器配置的应用来完成角色映射。在SAML断言模型内,SP需要注明它是否会处理受保护应用中的组行为(见图3),用户需要成为IdP的本地(LDAP)库中的组员之意。通过SP验证器映射到JAASPrincipal对象的“组”属性将使断言被处理(见清单1)。
图3
清单1 有关传入用户的SAML断言元素
| 以下是引用片段: <Subject> <NameIdentifier Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">auser</NameIdentifier> <SubjectConfirmation> <ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:bearer</ConfirmationMethod> </SubjectConfirmation> </Subject> <Attribute AttributeName="Groups" AttributeNamespace="urn:bea:security:saml:groups"> <AttributeValue>atlantis</AttributeValue> </Attribute> |
图3当处理一个传入断言时,有一个标志用于指示SAML身份断言器是否应该寻找一个包含组名的SAML属性声明。这需要应用能够允许RBAC分别使用清单2和清单3中Web.xml和相关联的WebLogic.xml。在该应用中,“工作”目录下的资源需要传入的用户是“atlantis”组的成员之一。注意这一点很重要,在JAAS和JEE中一个Principal可以是某个特定的用户或组。
清单2 SP的Web.xml
| 以下是引用片段: <security-constraint> <web-resource-collection> <web-resource-name>TheSecurePages</web-resource-name> <description>Pages accessible by authorized users.</description> <url-pattern>/working/*</url-pattern> <http-method>GET</http-method> </web-resource-collection> <auth-constraint> <description>Roles who have access.</description> <role-name> atlantis </role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>CLIENT-CERT</auth-method> <realm-name>myrealm</realm-name> </login-config> <security-role> <description>These are the roles who have access.</description> <role-name> atlantis </role-name> </security-role> </web-app> |
清单3 - SP的WebLogic.xml
| 以下是引用片段: ... <security-role-assignment> <role-name> atlantis </role-name> <principal-name> atlantis </principal-name> </security-role-assignment> <context-root>TargetApplication</context-root> </weblogic-web-app> |
作者
翻译
相关推荐
-
SAML:集中身份管理的秘诀(四)
身份管理是个复杂问题。它包括口令维护、用户配置和访问控制管理。本文着重介绍了身份管理中被SAML大大简化了的一部分,即基于角色的访问控制(RBAC)。越来越多的厂商在支持RBAC,因为它可以让管理员简化访问控制列表。
-
SAML:集中身份管理的秘诀(三)
身份管理是个复杂问题。它包括口令维护、用户配置和访问控制管理。本文着重介绍了身份管理中被SAML大大简化了的一部分,即基于角色的访问控制(RBAC)。越来越多的厂商在支持RBAC,因为它可以让管理员简化访问控制列表。
-
SAML:集中身份管理的秘诀(二)
身份管理是个复杂问题。它包括口令维护、用户配置和访问控制管理。本文着重介绍了身份管理中被SAML大大简化了的一部分,即基于角色的访问控制(RBAC)。越来越多的厂商在支持RBAC,因为它可以让管理员简化访问控制列表。
-
SAML:集中身份管理的秘诀(一)
身份管理是个复杂问题。它包括口令维护、用户配置和访问控制管理。本文着重介绍了身份管理中被SAML大大简化了的一部分,即基于角色的访问控制(RBAC)。越来越多的厂商在支持RBAC,因为它可以让管理员简化访问控制列表。