OpenAM身份验证和Web应用程序的授权

时间:2014-04-08 08:15:50

标签: openam opendj

我有一个网络应用程序。我已经使用OpenAM成功验证了用户身份。为此,我在一个Tomcate(8080)上部署和配置了OpenAM,我的Web应用程序部署在另一个tomcate(8081)上。我在tomcate(8081)上配置了“ J2EE_AGENT ”。

我正在使用OpenDJ进行数据存储。我创建了两个用户/组

user1 ----> 1组 user2 ---->组2

我在OpenAM上创建了代理政策政策的配置如下。

我想要保护的资源名称是:http://example.com:8081/SpringMVC/welcome并允许 GET POST 操作。并将 group1 分配给此规则。

当我尝试访问受保护的URL时,它会使用OpenAM成功进行身份验证并能够访问该链接。但不幸的是,group2也能够访问该网址,虽然我没有将该组分配给该规则。

我的问题来自 如何配置规则以便group2无法访问该网址或群组2获取该网址的访问被拒绝

我花了大约1天的时间。早期的帮助将不胜感激。

1 个答案:

答案 0 :(得分:0)

快速创意,在代理配置下 - >全局设置 - >代理筛选模式,您是否使用过SSO_only模式?这绕过了所有授权规则,并允许每个经过身份验证的人。

如果不是,我建议打开代理和OpenAM的调试日志。设置代理配置 - >全局设置 - >代理调试级别到消息和OpenAM主页 - >配置 - > system - >记录 - >记录级别为INFO。

您可以在这里进行授权决策/ openam / debug / Policy