Wie kann ich darauf vertrauen, dass die SiteMinder HTTP-Header nicht manipuliert wurden?
Ich bin völlig neu auf SiteMinder und SSO im Allgemeinen. Ich stocherte auf SO und der CA web site Nachmittag an einem einfachen Beispiel und nicht finden können. I don ' T care über die Einstellung oder Programmierung SM oder ähnliches. Alle, die bereits von jemand anderem. Ich will einfach nur, sich mein JS-web-app zu verwenden, SM für die Authentifizierung.
Bekomme ich das SM wird ein HTTP-header mit einem Schlüssel wie SM_USER, die mir sagen, wer der Benutzer ist. Was ich nicht verstehe ist -- was verhindert, dass jemand aus der addition dieser header selbst und das umgehen SM ganz? Was muss ich in meinen server-side-code, um zu überprüfen, dass die SM_USER kam wirklich aus SM? Ich nehme an, sichere cookies sind beteiligt...
InformationsquelleAutor der Frage GregT | 2012-04-13
Du musst angemeldet sein, um einen Kommentar abzugeben.
Den SM-Web-Agent installiert auf dem Web-Server dient zum abfangen aller Datenverkehr und überprüft, um zu sehen, ob die Ressourcenanforderung ist...
Geschützt durch SiteMinder
Wenn der Benutzer über ein gültiges SMSESSION (d.h. der ist Authentifiziert)
Wenn 1 und 2 wahr sind, dann ist die WA überprüft, die Siteminder Policy Server, um zu sehen, wenn der Benutzer Autorisierten Zugriff auf die angeforderte Ressource.
Um sicherzustellen, dass Sie nicht die HTTP-Header-Injektionen von Benutzer info, die SiteMinder-WebAgent überschreibt alle in der SiteMinder-spezifischen HTTP-Header-Informationen. Im wesentlichen bedeutet dies, können Sie "Vertrauen" der
SM_
info der WebAgent ist die Präsentation über den Benutzer, da es erstellt wird, von der Web-Agent auf dem server und nicht Teil der eingehenden Anfrage.InformationsquelleAutor der Antwort Ian
Da der gesamte Datenverkehr passieren sollte durch Siteminder Web-Agent also selbst wenn der Benutzer wird in dieser header wird überschrieben/entfernt
InformationsquelleAutor der Antwort
SiteMinder r12.52 enthält eine neue Funktion namens Enhanced Session Qualitätssicherung mit DeviceDNA™. DeviceDNA kann verwendet werden, um sicherzustellen, dass der SiteMinder-Session-Cookie nicht manipuliert wurde. Wenn die Session abgespielt wird auf einem anderen Rechner, oder aus einer anderen Browser-Instanz auf der gleichen Maschine, DeviceDNA wird fangen und blockieren die Anforderung.
Klicken Sie hier um einen webcast diskutieren neue features in CA SiteMinder r12.52
InformationsquelleAutor der Antwort bcarroll
Alle Siteminder-Architekturen, in der Tat, die Annahme, dass die Anwendung nur hat Vertrauen in den "SM_" - Header.
In der Praxis kann dies nicht ausreichend sein, abhängig von der Architektur Ihrer Anwendung.
Sie haben grundsätzlich 3 Fälle:
InformationsquelleAutor der Antwort sk_
Typischen enterprise-Architektur Webserver (Siteminder-Agent) + AppServer (Anwendungen)
Sagen, IP-Filterung ist nicht aktiviert, und das Web-Anfragen zulässig sind, die direkt auf Anwendungsserver, unter Umgehung der webserver und der sso-agent.
Wenn Anwendungen implementieren müssen, um eine Lösung für die Geltendmachung der request-Header /cookies werden nicht manipuliert /injiziert, haben wir keine ähnliche Lösung zu den folgenden?
InformationsquelleAutor der Antwort Agilan Palani