Как отключить или ограничить доступ к службам идентификации opensso/openam

Мне интересно, как я могу отключить доступ к /identityservices/* и другим сервлетам opensso/openam.

Дело в том, что я написал свой собственный модуль аутентификации для строгой аутентификации. Тот факт, что /identityservices/* позволяет получить token.id только с именем пользователя и паролем, в моем случае недостаточно безопасен, и я хотел бы отключить его.

Я думаю, что могу отключить его, изменив opensso/openam web.xml, но мне интересно, есть ли какой-нибудь "умный" способ сделать это.

Любое предложение ? Спасибо за помощь


service identity openam opensso
person morbac    schedule 05.02.2013    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Других путей с точки зрения OpenAM нет. Конечно, вы можете «защитить» OpenAM с помощью обратного прокси-сервера, который не позволяет запрашивать эти URL-адреса.

Если вы отключите аутентификацию на основе модулей и не имеете цепочки аутентификации, которая позволяет использовать аутентификацию по имени пользователя/паролю, в любом случае это может не быть проблемой.

person Bernhard Thalmayr    schedule 06.02.2013
comment
Мне интересно, не могу ли я поиграть с уровнем аутентификации, чтобы выполнить это. Я предполагаю, что если я настрою область так, чтобы она требовала более высокого уровня аутентификации, только модули, которые равны этому уровню или выше, разрешат аутентификацию. - person morbac; 06.02.2013

arrow_upward
0
arrow_downward

В документации OpenAM упоминается еще один способ «свести к минимуму воздействие OpenAM»: служба распределенной аутентификации. Дополнительная информация здесь: http://openam.forgerock.org/openam-documentation/openam-doc-source/doc/install-guide/index/chap-install-das.html

person morbac    schedule 14.03.2014