OpenSSO (OpenAM): отключить принудительное использование URL - PullRequest
Новая
       34

OpenSSO (OpenAM): отключить принудительное использование URL

2 голосов
/ 20 сентября 2011

Мы используем OpenAM для управления сессиями в нашем приложении.Проблема в том, что каждый раз, когда мы пытаемся передать параметры методом GET, ресурс блокируется (ошибка 403 - запрещена).Если параметры не установлены, все работает.

EX:

http://mysite.com/logo.jpg ----> Работает.

http://mysite.com/logo.jpg?foo=bar ----> ОШИБКА !

Для изображений или css нормально не иметь параметров, но все ссылки с использованием метода GET не работают.

Как мы можем решить нашу проблему?На самом деле, отключение этой политики было бы хорошим решением.

Мы искали раздел 7.4.2 в документации OpenAM (http://openam.forgerock.org/doc/admin-guide/OpenAM-Admin-Guide.html), но ничего не работает.

Любая подсказка?

Спасибо за ваше время.

Ответы [ 2 ]

4 голосов
/ 21 сентября 2011

Так что все, что вам нужно сделать, это создать 2 политики, одну для покрытия

.mysite.com / (я не смог опубликовать http://)

.mysite.com / ? *

Поскольку механизм политики на самом деле выглядит как аргументы и может ограничивать доступ на основе аргументов или нет.

Создание второй политики, разрешающей использование аргументов, решит ваши проблемы.

3 голосов
/ 21 сентября 2011

Вы должны создать соответствующие политики для принятия параметров в вашем URL.

В консоли OpenAm: 

- go to the Access Control Tab
- click on the realm you want to modify
- click on the Agents Tab
- click agent name you want to modify
- go to the Application Tab

В разделе Обработка неисполненных URL-адресов 

- look for the NotEnforced URLs parameter
- Enter the new policies in New Value
- click Add and then save.

Вы можете использовать * или - * - в зависимости от того, что вы хотите:

  • * включить все подразделения (например: mysite.com/* разрешит mysite.com/Foo/Bar)
  • -*- исключить подразделение (например, mysite.com/-*- разрешит mysite.com/page1.aspx, но не mysite.com/Foo/page1.aspx)

Таким образом, вы можете использовать для своих параметров что-то вроде mysite.com?-*- или, более конкретно, mysite.com?myparam=-*-

И учтите: несмотря на то, что указано «Горячая замена»:да ", это не значит, что ваши изменения вступают в силу немедленно.

...