我是网络新手,我正面临着一个试图在负载均衡背后实施opensso的问题。负载均衡器使用IP地址,预计openam代理可以在运行asp.net应用程序的IIS服务器上运行。 Openam仅适用于DNS,但负载均衡器仅适用于IP且无法通信。 这是一个常见的情况,过去任何人都在处理此类问题,请提供指导。
答案 0 :(得分:0)
您需要了解一些技术细节,尤其是https://tools.ietf.org/html/rfc6265(AKA" Cookie规范")。这就是为什么OpenAM BY DEFAULT只能在FQDN上工作的原因,但如果您了解技术基础,它只能用于IP。
默认情况下,代理会探测OpenAM URL(请参阅https://bugster.forgerock.org/jira/browse/OPENAM-3294)。
如果配置了OpenAM站点,则代理还会与为该站点配置的主站点URL(以及当OpenAM实例属于该站点时)进行通信,同时验证" user"的SSO令牌。并在发送政策决定请求时。
如果没有配置OpenAM站点,代理会与创建SSO会话的OpenAM实例的服务器URL进行通信(我称之为“权威的OpenAM实例”)。
OpenAM还需要知道它必须处理哪些FQDN。这可以通过OpenAM站点实现(了解WRT对代理通信的影响)或通过&#f; fqdn映射' (高级服务器属性com.sun.identity.server.fqdnMap [FQDN] = FQDN)
现在您还需要了解TCP / IP协议栈中的名称解析。
客户实际上首先在IP级别上进行通信(将较低级别放在一边)。
负载均衡器通常定义一个虚拟服务器'分配了VIP(条款令人困惑,因为在HTTP服务器上你也可能有像虚拟服务器这样的东西,但它可能在不同级别的网络堆栈上运行)。
所以你可以做(在你理解了技术基础之后)