0
ローカルのKeyrockインスタンスでは、2つの異なるアプリケーション、AppAとAppBを持つ2人のユーザーAとBがあります。両方のユーザーは、デフォルトの "admin"ユーザー "idm"とは区別されます。ウィルマPEPプロキシは、ユーザーAからのPEP資格情報で構成されています。問題は、ユーザーBがKeyrock IdMから有効なトークンを取得でき、AppAに正常にアクセスできることです(前述のように、Wilma PEP ProxyにPEP資格証明ユーザーA)。FIWARE - アプリケーションへの不正アクセスを可能にする一般的な許可を持つキーロックトークン(セキュリティ上の問題?)
これはKeyrock + Wilmaコンポーネント(GE)のデフォルト動作ですか、これは本当にセキュリティ上の問題ですか?私はユーザーBがユーザーAのアプリケーションにアクセスするべきではないと考えています。すべてのトークンは一般的で、ユーザーとは独立してすべてのアプリケーションにアクセスできるようです。私はこのすべてのプロセスについていくつかの理解を欠いていますか?
私はこれに何か助けてくれますか?@Álvaro? AuthZForceを強制的に使用する必要がありますか?それとも、Keyrockだけを使ってこれを制御することは可能ですか? – Dalton
これが期待される動作であれば、私は、Keyrock Horizonでアプリケーションを構成することは意味がないと思います。 Horizonのユーザー登録だけで、有効なトークンを取得してすべてのサービスにアクセスできるようになります...間違っていますか? – Dalton