我有一个网络应用程序。我已经使用OpenAM成功验证了用户身份。为此,我在一个Tomcate(8080)上部署和配置了OpenAM,我的Web应用程序部署在另一个tomcate(8081)上。我在tomcate(8081)上配置了“ J2EE_AGENT ”。
我正在使用OpenDJ进行数据存储。我创建了两个用户/组
user1 ----> 1组 user2 ---->组2
我在OpenAM上创建了代理和政策。 政策的配置如下。
我想要保护的资源名称是:http://example.com:8081/SpringMVC/welcome并允许 GET 和 POST 操作。并将 group1 分配给此规则。
当我尝试访问受保护的URL时,它会使用OpenAM成功进行身份验证并能够访问该链接。但不幸的是,group2也能够访问该网址,虽然我没有将该组分配给该规则。
我的问题来自 如何配置规则以便group2无法访问该网址或群组2获取该网址的访问被拒绝。
我花了大约1天的时间。早期的帮助将不胜感激。
答案 0 :(得分:0)
快速创意,在代理配置下 - >全局设置 - >代理筛选模式,您是否使用过SSO_only模式?这绕过了所有授权规则,并允许每个经过身份验证的人。
如果不是,我建议打开代理和OpenAM的调试日志。设置代理配置 - >全局设置 - >代理调试级别到消息和OpenAM主页 - >配置 - > system - >记录 - >记录级别为INFO。
您可以在这里进行授权决策/ openam / debug / Policy