Wie kann ich darauf vertrauen, dass die SiteMinder HTTP-Header nicht manipuliert wurden?

Ich bin völlig neu auf SiteMinder und SSO im Allgemeinen. Ich stocherte auf SO und der CA web site Nachmittag an einem einfachen Beispiel und nicht finden können. I don ' T care über die Einstellung oder Programmierung SM oder ähnliches. Alle, die bereits von jemand anderem. Ich will einfach nur, sich mein JS-web-app zu verwenden, SM für die Authentifizierung.

Bekomme ich das SM wird ein HTTP-header mit einem Schlüssel wie SM_USER, die mir sagen, wer der Benutzer ist. Was ich nicht verstehe ist -- was verhindert, dass jemand aus der addition dieser header selbst und das umgehen SM ganz? Was muss ich in meinen server-side-code, um zu überprüfen, dass die SM_USER kam wirklich aus SM? Ich nehme an, sichere cookies sind beteiligt...

InformationsquelleAutor der Frage GregT | 2012-04-13

  1. 17

    Den SM-Web-Agent installiert auf dem Web-Server dient zum abfangen aller Datenverkehr und überprüft, um zu sehen, ob die Ressourcenanforderung ist...

    1. Geschützt durch SiteMinder

    2. Wenn der Benutzer über ein gültiges SMSESSION (d.h. der ist Authentifiziert)

    3. Wenn 1 und 2 wahr sind, dann ist die WA überprüft, die Siteminder Policy Server, um zu sehen, wenn der Benutzer Autorisierten Zugriff auf die angeforderte Ressource.

    Um sicherzustellen, dass Sie nicht die HTTP-Header-Injektionen von Benutzer info, die SiteMinder-WebAgent überschreibt alle in der SiteMinder-spezifischen HTTP-Header-Informationen. Im wesentlichen bedeutet dies, können Sie "Vertrauen" der SM_ info der WebAgent ist die Präsentation über den Benutzer, da es erstellt wird, von der Web-Agent auf dem server und nicht Teil der eingehenden Anfrage.

    InformationsquelleAutor der Antwort Ian

  2. 3

    Da der gesamte Datenverkehr passieren sollte durch Siteminder Web-Agent also selbst wenn der Benutzer wird in dieser header wird überschrieben/entfernt

    InformationsquelleAutor der Antwort

  3. 2

    SiteMinder r12.52 enthält eine neue Funktion namens Enhanced Session Qualitätssicherung mit DeviceDNA™. DeviceDNA kann verwendet werden, um sicherzustellen, dass der SiteMinder-Session-Cookie nicht manipuliert wurde. Wenn die Session abgespielt wird auf einem anderen Rechner, oder aus einer anderen Browser-Instanz auf der gleichen Maschine, DeviceDNA wird fangen und blockieren die Anforderung.

    Klicken Sie hier um einen webcast diskutieren neue features in CA SiteMinder r12.52

    InformationsquelleAutor der Antwort bcarroll

  4. 2

    Alle Siteminder-Architekturen, in der Tat, die Annahme, dass die Anwendung nur hat Vertrauen in den "SM_" - Header.

    In der Praxis kann dies nicht ausreichend sein, abhängig von der Architektur Ihrer Anwendung.
    Sie haben grundsätzlich 3 Fälle:

    • Der Web-Agent installiert ist, auf dem web-server, auf dem Ihre Anwendung ausgeführt wird (typischer Fall für die Apache/PHP-Anwendungen): wie oben angegeben, Vertrauen Sie auf die überschriften, da keine Anfragen erreichen Ihre Anwendung, ohne gefiltert zu werden von den web-Agenten.
    • Der Web-Agent installiert ist, auf einem anderen Webserver als dem, in dem Ihre Anwendung ausgeführt wird, aber auf der gleichen Maschine (typischer Fall: SM-Agent, installiert auf einem Apache-front-end dienen, ein JEE Application-Server): Sie müssen sicherstellen, dass keine Anfragen können direkt erreichen Sie Ihre Anwendungs-server. Entweder binden Sie Ihren Anwendungsserver, um die loopback-Schnittstelle oder filtern Sie die ports auf dem server.
    • Des Web-Agent wird auf einen reverse-proxy vor der Anwendung. Gleiche Bemerkung. Die einzige Lösung hier ist die Implementierung einer IP-filter für Ihre Anwendung, sodass nur Anforderungen, die aus den reverse-proxy.

    InformationsquelleAutor der Antwort sk_

  5. 1

    Typischen enterprise-Architektur Webserver (Siteminder-Agent) + AppServer (Anwendungen)

    Sagen, IP-Filterung ist nicht aktiviert, und das Web-Anfragen zulässig sind, die direkt auf Anwendungsserver, unter Umgehung der webserver und der sso-agent.

    Wenn Anwendungen implementieren müssen, um eine Lösung für die Geltendmachung der request-Header /cookies werden nicht manipuliert /injiziert, haben wir keine ähnliche Lösung zu den folgenden?

    • Senden Sie die SM_USERID verschlüsselt in einem separaten cookie oder verschlüsselt ist (Sym/Asym) zusammen mit SMSESSION-id
    • Anwendung wird der Schlüssel zum entschlüsseln des SMSESSION oder SM_USERID ermittelt werden, um die Benutzer-id, session-Ablauf-status und andere zusätzliche details und Autorisierung details, falls zutreffend.
    • Anwendung mittlerweile vertraut, die user_id und tun Authentifizierung

    InformationsquelleAutor der Antwort Agilan Palani

Schreibe einen Kommentar