Goal OpenAM, formerly called Sun’s OpenSSO, is an open source server platform providing access management, entitlements and identity federation services. Basically, it will allow providing Single Sign-On services to clients in complexes environments: multiple applications in different DNS domains, multiple authentication methods and identity repository, with resources spanned over multiple sites a
The problem: Users are trying to submit forms after a session timeout, and lose their post data after being redirected to the login page. The solution: Allow edit pages to occasionally "ping" the OpenAM server to keep idle sessions from expiring as long as the edit page is open. OpenAM uses more than one session timeout to ensure that old unused sessions don't take up too many resources: Maximum s
Overview If your users are already authenticating to an Active Directory server, then enabling Kerberos authentication in OpenAM will allow them to transparently authenticate to OpenAM as well. This works in all major browsers but sometimes needs some manual configuration. This also works on Linux assuming your Linux desktop is authenticating against AD using something like Centrify. There are oth
OpenAM13.0.0のソースをビルドする手順を説明する。 なお、ビルドする際には、Maven v3.1.0以上が必要である。 以下のサイトからOpenAMソース一式をダウンロードする。 (事前にアカウント登録が必要である) https://stash.forgerock.org/projects/OPENAM SecureID認証モジュールで使ってるjarの中にはPUBLICに公開されていないものがある模様。そのため、SecureID認証モジュールを含めてOpenAMをコンパイルしたい場合は、別途mvnのリポジトリに登録する必要がある。以下のコマンドを実行してmvnリポジトリに登録する。 c:\work\openam-master>mvn install:install-file -Dfile=./authapi-2005-08-12.jar -DgroupId=external -
OpenAM9.5の構築手順について説明する。 なお、アプリケーションサーバはGlassfish2.1.1を使用する。 ①以下のサイトからGlassfishのインストール媒体(glassfish-installer-v2.1.1-windows.jar )をダウンロードし、インストールする。 http://glassfish.java.net/downloads/v2.1.1-final.html ②Glassfishのドメイン(ポート28080)を作成する。 C:\glassfish\glassfish\bin>asadmin create-domain --adminport 24848 --instancep ort 28080 --savemasterpassword=true --savelogin=true openiddomain Please enter the ad
OpenAM10.0(on CentOS5.8)にてSAMLメタデータ入出力仕様を調査する。 メタデータはOpenAM画面(以降、画面とする)からもOpenAMコマンド(以降、コマンドとする)からも登録可能。 ※コマンドを利用する場合は別途ssoadmをインストールする必要あり。 1.準備 まず、画面よりトラストサークルをsamlcotとして、ホストアイデンティティープロバイダ(IDP)とホストサービスプロバイダ(SP)を作成する。 メタデータはexportmetadata.jspを使って出力可能である。amadminでログイン後、ブラウザのURLに http://goodjob-idp.openam.net:8080/openam/saml2/jsp/exportmetadata.jsp http://goodjob-sp.openam.net:8080/openam/saml2/jsp
{今年|今月|今週|今日}も何%過ぎました ゆく河の流れは絶えずして、しかももとの水にあらず (鴨長明:荘子) FESTINA LENTE ゆっくり急げ (ローマ帝国初代皇帝 アウグストゥス) 立派にできたのであれば、それは十分早くできたことになる (ローマ帝国初代皇帝 アウグストゥス) 海豹日記 へようこそ このサイトは、個人的な覚書を残しておくサイトです 自分は、よくこんなことをします 何かの困りごとや興味の赴くままに、いろいろ調べる 数か月後に、そのことを忘れてしまって、同じことについていろいろ調べる。しかし、そのうち、数か月前の自分が、同じことを同じように調べていたことに気づく それは不毛なので、覚書を残しておこうというわけです (主人公のアリスに掴まれて、チェス盤のはるかかなたまで持ち上げられたことのあるチェスの王さまが、当時のこと思い出し) 王さま「あの瞬間の恐怖といったら、わ
SSO (Single Sign On) を実現するためのアプリケーション。 ユーザは、一回認証するだけで、複数のサービスを使うことができる Open AM は、サーバ と Agent からなる サーバは、Java EE アプリ (warで提供される) アプリケーションが載っている HTTP サーバには、Agent を組み込む 利用シナリオ ユーザが、Java EE アプリにアクセスする Glassfish の Agent が、Open AM サーバのログイン画面へのリダイレクト要求をブラウザに返却する。Java EE アプリへの処理要求は実行されない ブラウザは、Open AM サーバのログイン画面を表示 ユーザが正しいユーザ名・パスワードを入力 Open AM サーバは、SSO Token と 最初の Java EE アプリへの処理要求へのリダイレクト要求をブラウザに返却する ブラウザ
OpenAM/OpenSSOの"Desktop SSO"は、一度WIndowsドメインにログオンするだけでブラウザ(IEまたはFirefox)からもシングル・サイン・オンが出来るようになるという便利な機能です。今はその設定ガイドを準備しています。設定手順については様々なドキュメントが既にあります。またブログにも手順が載っています。しかし、多くは現状に合わなくなっていたり、必要以上に複雑な手順になっていることが問題です。 例えばktpassコマンドの使い方についてです。多くの手順では2回ktpassコマンドを使っていますが、1回で十分なはずです。Service Principalをユーザにマップして、鍵を生成し、キータブファイルを生成することまでをktpassコマンド1回で出来ます。その方が間違いがなく、正確です。Host Principalを生成している手順もありましたが、これも必要ありま
OpenAM は、Sun Microsystemsを中心としてプロジェクトが進められていた Web上でSSO(シングルサインオン)を実現するためのソフトウェア OpenSSOの 後継にあたるもの。 中身としては、OpenSSOをそのまま引き継いでいるので安心して使えるのと オープンソースなので中身をみれば何をしているか分かるという安心感もある。 日本語情報はまだ少ないですが、OpenSSOの資料をほぼそのまま流用 できるのであれば最低限は情報入手できると思います。 とりあえず、OpenAMでDesktopSSOによるシングルサインオンとかいうものに チャレンジしてみました。 Windows Desktop SSO は、Windowsにログインするだけで、 Webアプリに対してシングルサインオンが可能になるような仕組みです。 設定を行って動作はしましたが、手順的に問題ないかまでは分かりません
やりたいことは、クロスドメイン(CDSSO)でシングルサインオンを実現し、ユーザーを識別(認可)して、アクセスできるURLを制限したい、というもの。 SSO製品は色々あるようですが、一番とっつきやすそうなOpenAMで試す。 SSOエージェントなど、独特のSSO用語は以下のページがとてもわかり易いです。 http://dev.ariel-networks.com/column/tech/opensso/ 前提 SSOサーバーとSSOエージェントは別マシン(同じマシンで実行した(もちろんポートを変えて)が上手くいかなかった為) SSOサーバーのホスト(10.29.56.64) : sso.server.com SSOエージェントのホスト(10.29.55.56) : sso.agent.com SSOはCookieを用いて、SSO Tokenをやり取りするので、localhostなどでアクセ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く