Использование другого сервера авторизации OAuth2.0 с платформой MobileFirst, отличной от включенной

Question

Использование другого сервера авторизации OAuth2.0 с платформой MobileFirst, отличной от включенной

Читая этот очень хороший пост в блоге (знакомство с IBM MobileFirst Platform Foundation OAuth Security), я узнал, что в MobileFirst Platform (7.0 и выше) встроен сервер авторизации OAuth2.0, который можно использовать для защиты внешних серверов ресурсов.

Однако я хотел бы понять , можно ли интегрировать платформу MobileFirst с другим сервером авторизации и защитить серверы ресурсов платформы MobileFirst (и внешние). Сервером авторизации в этом случае будет ADFS, работающая на Windows Server 2012R2.

В этом документе из Документации по продукту объясняется, как использовать DataPower в качестве сервера авторизации OAuth. Можно ли его использовать и для других серверов авторизации OAuth2.0? (Сервером авторизации в этом случае будет ADFS, работающая на Windows Server 2012R2.)

1

oauth authorization ibm-mobilefirst adfs

Источник

user423816 21 апр '16 в 08:55

1 ответ

Решение

Другие вопросы по тегам oauth authorization ibm-mobilefirst adfs

user1843115 24 апр '16 в 12:32 2016-04-24 12:32 · Accepted Answer · 2016-04-24 12:32

IBMMobileFirst v8.0 поддерживает только Datapower в качестве внешнего сервера авторизации. Если вы хотите использовать другой AZ-сервер, я могу думать только о том, чтобы реализовать поток через MobileFirst SecurityCheck и заставить эту проверку безопасности вызвать другой сервер авторизации. Таким образом, вы будете использовать как MFP AuthorizationServer, так и ADFS (таким образом, два потока Oauth, два токена и т. Д.).

Подумайте об этом примере потока высокого уровня:
Ваш ресурс защищен некоторой областью, эта область сопоставлена с проверкой безопасности на сервере MobileFirst. Когда ваш клиент пытается получить доступ к ресурсу, запускается проверка безопасности, которая затем отправляет запрос в поток авторизации ADFS. Ваша проверка безопасности будет действовать как посредник между ADFS и клиентом и будет успешной, только когда ADFS предоставит токен. В конце концов, когда проверка безопасности MFP прошла успешно, клиенту будет предоставлен токен MFP Oauth, который позволит ему получить доступ к защищенному ресурсу.
Таким образом, в основном ваша проверка безопасности будет действовать как ваш клиент на сервере авторизации ADFS

Более простым способом было бы сделать этот ресурс незащищенным и реализовать собственный настраиваемый поток Oauth для ADFS - но это не первоначальный вопрос.

Но плюсом первого варианта является то, что вы всегда можете сделать так, чтобы одна и та же область (которая защищает ваш ресурс) была непрерывно отображена на что-то другое (через консоль), как на другую проверку безопасности, которая делает что-то еще.

Для IBM Mobilefirst 7.1 (или 7.0) поток в значительной степени такой же, отличается только терминология, в 7.x нет проверок безопасности, но вы можете использовать пользовательский аутентификатор для получения той же функциональности.

Личное примечание - если вы не обязаны использовать 7.x, я бы порекомендовал сделать это в 8.0