Authzforce не хранит политики?

Я разрабатываю новое приложение с использованием Fiware, и мне интересно добавить уровень безопасности, используя для этого специальный Fiware GE:

Я начал с настройки собственной локальной установки этих компонентов, начиная с это руководство. Через несколько минут мне удалось успешно установить и запустить все три компонента.

Затем я начал создавать приложения, роли, разрешения, назначать роли пользователям и так далее. Дело в том, что через некоторое время игры с компонентами AuthZforce вылетел, и мне пришлось его перезагружать. После этого я заметил, что все политики и домены были удалены из AuthZForce.

Я немного покопался и обнаружил, что все данные хранятся в памяти для AuthZForce, а также в базе данных IdM, поэтому, если ваш AuthZForce выйдет из строя, вы потеряете все свои политики и домены приложений, если не восстановите его из базы данных IdM.

Проблема в том, что при перезапуске AuthZForce все политики и приложения, хранящиеся в базах данных IdM, не синхронизируются автоматически с AuthZForce. Для принудительной синхронизации вы должны внести некоторые изменения в свое приложение, например, используя веб-интерфейс IdM, чтобы изменить описание приложения. Затем IdM заново создает домен приложения и все политики приложений.

Есть ли причина, почему это так? Почему синхронизация не выполняется автоматически? Может ли AuthZForce сам нести ответственность за постоянство политики?


fiware authz authzforce fiware-wilma
person Emiliano Viotti    schedule 12.12.2017    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Что касается AuthzForce, все политики, успешно переданные IdM в Authzforce, сохраняются на диске в каталоге / opt / authzforce-ce-server / data сервера AuthzForce. Я не знаю причин, по которым AuthzForce Server удаляет данные оттуда, если они не запрашиваются через REST API, например. от IdM. Если вы проверяете содержимое этого каталога в какой-то момент, и он пуст, одна из причин может заключаться в том, что IdM вообще не отправил какую-либо политику в AuthzForce. Если вы действительно обнаружите случай, когда сбой AuthzForce стирает все файлы в / opt / authzforce-ce-server / data (очевидно, при условии, что раньше были некоторые файлы), то сообщите об этой проблеме команде AuthzForce с соответствующими журналами сервера и достаточной информацией для воспроизведения проблемы.

Возвращаясь к последнему вопросу, снова AuthzForce сохраняет политики, полученные от IdM, на диск. Однако, с одной стороны, IdM использует собственный упрощенный формат для управления разрешениями ролей из графического интерфейса пользователя, тогда как AuthzForce использует стандарт XACML. В настоящий момент графический интерфейс IdM не поддерживает полную выразительность XACML, это далеко не так. Поэтому, когда вы нажимаете «Сохранить» в редакторе разрешений ролей, графический интерфейс IdM преобразуется из собственного формата в XACML (с использованием простой обработки шаблонов) перед отправкой в ​​AuthzForce, и это только одностороннее действие. Следовательно, IdM не может восстанавливать политики в собственном формате из AuthzForce (насколько мне известно, преобразование формата XACML в IdM не реализовано), и поэтому IdM не может полагаться только на AuthzForce для хранения политик. Я не могу вдаваться в подробности и почему, потому что я не являюсь частью команды разработчиков IdM. Поэтому, пожалуйста, спросите их, хотите ли вы лучшего ответа.

person cdan    schedule 18.12.2017
comment
Спасибо за ваш ответ. Я проверю каталог, который вы упомянули. С уважением! - person Emiliano Viotti; 18.12.2017