我完全新的SiteMinder和SSO一般。 我整个下午都戳周围SO和CA网站的一个基本的例子,并不能找到一个。 我不关心设置或编程SM之类的东西。 所有这一切都已经由其他人来完成。 我只是想适应我的JS的web应用程序使用SM进行身份验证。
我得到的SM将与一键添加一个HTTP头如SM_USER会告诉我的用户是谁。 我不明白的是 - 什么阻止任何人加入这个头自己,完全绕过SM? 我有什么把我的服务器端代码来验证SM_USER真正从SM来的? 我想安全cookie都参与...
我完全新的SiteMinder和SSO一般。 我整个下午都戳周围SO和CA网站的一个基本的例子,并不能找到一个。 我不关心设置或编程SM之类的东西。 所有这一切都已经由其他人来完成。 我只是想适应我的JS的web应用程序使用SM进行身份验证。
我得到的SM将与一键添加一个HTTP头如SM_USER会告诉我的用户是谁。 我不明白的是 - 什么阻止任何人加入这个头自己,完全绕过SM? 我有什么把我的服务器端代码来验证SM_USER真正从SM来的? 我想安全cookie都参与...
安装在Web服务器上的SM Web代理旨在拦截所有流量,并检查是否资源请求是...
受保护的SiteMinder
如果用户有一个有效的SMSESSION(即经过身份验证 )
如果1和2是真的,那么WA检查SiteMinder策略服务器来查看用户是否被授权访问所请求的资源。
为了确保你没有的用户信息HTTP头注射,在SiteMinder的WebAgent将改写所有SiteMinder的特定HTTP头信息。 从本质上讲,这意味着你可以“信任” SM_
信息,因为它是由Web代理传入请求的服务器,而不是部分创建的WebAgent被呈现关于用户。
因为所有的流量应该通过SiteMinder Web代理这样即使用户设置该头将被覆盖/删除
SiteMinder的r12.52包含一个名为增强的会话与保证的DeviceDNA™新功能。 的DeviceDNA可以用来确保在SiteMinder会话Cookie没有被篡改。 如果会话被重放的不同机器上,或从同一机器上的另一个布劳尔例如,将的DeviceDNA捕获此并阻止该请求。
点击此处查看网络广播在CA SiteMinder的r12.52讨论新功能
所有SiteMinder的架构确实使应用程序只是有信任“SM_”报头的假设。
在实践中,这可能不是根据您的应用程序的架构就足够了。 基本上,你有三种情况:
典型的企业架构将网络服务器(代理的SiteMinder)+应用服务器(应用程序)
说IP过滤未启用,并网请求直接允许应用服务器,Web服务器绕过和SSO代理。
如果应用程序必须实现一个解决方案断言/饼干中没有被篡改/注射请求头,我们有呈三角以下任何解决方案?