CDSSO,政策代理人和amlbcookie

时间:2016-09-20 18:49:29

标签: cross-domain single-sign-on agent policy openam

我想知道amlbcookie和粘性会话如何与策略代理一起工作,特别是在CDSSO环境中。

据我所知,在常规SSO实施中,受保护的应用程序,以及Web代理与OpenAM部署在同一个域中,Web代理可以访问amlbcookie并可以读取值或只传递在会话验证期间向OpenAM提供cookie。

但是,这在CDSSO情况下如何运作?在这种情况下,策略代理无权访问amlbcookie,因为它位于不同的域(OpenAM域)中。我知道策略代理会从LARES POST读取会话ID。

在LARES POST中是否也传递了amlbcookie值?这是com.sun.identity.agents.config.postdata.preserve.lbcookie属性的用途吗?

1 个答案:

答案 0 :(得分:0)

在做了一些研究并与供应商合作之后,我立即了解到,政策代理人没有在CDSSO工作流程中传递amlbcookie。在以下链接中有一个错误: https://bugster.forgerock.org/jira/browse/OPENAM-2396

但是,颁发令牌的权威服务器会将其服务器ID存储为会话值的一部分。 http://blogs.forgerock.org/petermajor/2015/08/sessions/

Policy Agent将从令牌中提取服务器ID,并可以创建amlbcookie,或者OpenAM服务器可以从令牌中读取权威服务器ID。

因此,LARES帖子也不需要传递amlbcookie,因为派生它所需的所有信息都在会话令牌中。