Jump To Close Expand all Collapse all Table of contents 保护应用程序和服务指南 使开源包含更多 1. 计划保护应用程序和服务 Expand section "1. 计划保护应用程序和服务" Collapse section "1. 计划保护应用程序和服务" 1.1. 客户端适配器 1.2. 支持的平台 Expand section "1.2. 支持的平台" Collapse section "1.2. 支持的平台" 1.2.1. OpenID Connect Expand section "1.2.1. OpenID Connect" Collapse section "1.2.1. OpenID Connect" 1.2.1.1. Java 1.2.1.2. JavaScript(客户端) 1.2.1.3. Node.js (server-side) 1.2.2. SAML Expand section "1.2.2. SAML" Collapse section "1.2.2. SAML" 1.2.2.1. Java 1.2.2.2. Apache HTTP 服务器 1.3. 支持的协议 Expand section "1.3. 支持的协议" Collapse section "1.3. 支持的协议" 1.3.1. OpenID Connect 1.3.2. SAML 2.0 1.3.3. OpenID Connect 与.SAML 1.4. 术语 1.5. 保护应用程序和服务的基本步骤 2. 使用 OpenID Connect 来保护应用程序和服务 Expand section "2. 使用 OpenID Connect 来保护应用程序和服务" Collapse section "2. 使用 OpenID Connect 来保护应用程序和服务" 2.1. Java 适配器 Expand section "2.1. Java 适配器" Collapse section "2.1. Java 适配器" 2.1.1. Java adapter 配置 2.1.2. JBoss EAP 适配器 2.1.3. 从一个 ZIP 文件安装 JBOSS EAP 适配器 Expand section "2.1.3. 从一个 ZIP 文件安装 JBOSS EAP 适配器" Collapse section "2.1.3. 从一个 ZIP 文件安装 JBOSS EAP 适配器" 2.1.3.1. JBoss SSO 2.1.3.2. 保护 WAR 2.1.3.3. 通过适配器子系统保护 WAR 2.1.3.4. 安全域 2.1.4. 从 RPM 安装 JBoss EAP 7 适配器 2.1.5. 从 RPM 安装 JBoss EAP 6 适配器 2.1.6. JBoss Fuse 6 adapter Expand section "2.1.6. JBoss Fuse 6 adapter" Collapse section "2.1.6. JBoss Fuse 6 adapter" 2.1.6.1. 保护 Fuse 6 中的 Web 应用程序 2.1.6.2. 安装 Keycloak 功能 Expand section "2.1.6.2. 安装 Keycloak 功能" Collapse section "2.1.6.2. 安装 Keycloak 功能" 2.1.6.2.1. 从 Maven 存储库安装 2.1.6.2.2. 从 ZIP 捆绑包安装 2.1.6.3. 保护 Classic WAR 应用程序 Expand section "2.1.6.3. 保护 Classic WAR 应用程序" Collapse section "2.1.6.3. 保护 Classic WAR 应用程序" 2.1.6.3.1. 配置外部适配器 2.1.6.4. 保护部署为 OSGI 服务的 servlet 2.1.6.5. 保护 Apache Camel 应用程序 2.1.6.6. Camel RestDSL 2.1.6.7. 在单独的 Jetty 引擎上保护 Apache CXF 端点 2.1.6.8. 在默认的 Jetty Engine 上保护 Apache CXF 端点 2.1.6.9. 保护 Fuse 管理服务 Expand section "2.1.6.9. 保护 Fuse 管理服务" Collapse section "2.1.6.9. 保护 Fuse 管理服务" 2.1.6.9.1. 使用 SSH 身份验证到 Fuse Terminal 2.1.6.9.2. 使用 JMX 身份验证 2.1.6.10. 保护 Hawtio 管理控制台 Expand section "2.1.6.10. 保护 Hawtio 管理控制台" Collapse section "2.1.6.10. 保护 Hawtio 管理控制台" 2.1.6.10.1. 在 JBoss EAP 6.4 上保护 Hawtio 2.1.7. JBoss Fuse 7 Adapter Expand section "2.1.7. JBoss Fuse 7 Adapter" Collapse section "2.1.7. JBoss Fuse 7 Adapter" 2.1.7.1. 在 Fuse 7 中保护您的 Web 应用程序 2.1.7.2. 安装 Keycloak 功能 Expand section "2.1.7.2. 安装 Keycloak 功能" Collapse section "2.1.7.2. 安装 Keycloak 功能" 2.1.7.2.1. 从 Maven 存储库安装 2.1.7.2.2. 从 ZIP 捆绑包安装 2.1.7.3. 保护 Classic WAR 应用程序 Expand section "2.1.7.3. 保护 Classic WAR 应用程序" Collapse section "2.1.7.3. 保护 Classic WAR 应用程序" 2.1.7.3.1. 配置解析器 2.1.7.4. 保护部署为 OSGI 服务的 servlet 2.1.7.5. 保护 Apache Camel 应用程序 2.1.7.6. Camel RestDSL 2.1.7.7. 在单独的 Undertow Engine 上保护 Apache CXF 端点 2.1.7.8. 在默认的 Undertow Engine 上保护 Apache CXF 端点 2.1.7.9. 保护 Fuse 管理服务 Expand section "2.1.7.9. 保护 Fuse 管理服务" Collapse section "2.1.7.9. 保护 Fuse 管理服务" 2.1.7.9.1. 使用 SSH 身份验证到 Fuse Terminal 2.1.7.9.2. 使用 JMX 身份验证 2.1.7.10. 保护 Hawtio 管理控制台 2.1.8. Spring Boot adapter Expand section "2.1.8. Spring Boot adapter" Collapse section "2.1.8. Spring Boot adapter" 2.1.8.1. 安装 Spring Boot 适配器 2.1.8.2. 配置 Spring Boot Adapter 2.1.9. Java servlet 过滤器适配器 2.1.10. 安全上下文 2.1.11. 错误处理 2.1.12. 退出 2.1.13. 参数转发 2.1.14. 客户端身份验证 Expand section "2.1.14. 客户端身份验证" Collapse section "2.1.14. 客户端身份验证" 2.1.14.1. 客户端 ID 和客户端 Secret 2.1.14.2. 使用签名 JWT 进行客户端身份验证 2.1.15. 多租户 2.1.16. 应用程序集群 Expand section "2.1.16. 应用程序集群" Collapse section "2.1.16. 应用程序集群" 2.1.16.1. 无状态令牌存储 2.1.16.2. 相对 URI 优化 2.1.16.3. 管理 URL 配置 2.1.16.4. 注册应用程序节点 2.1.16.5. 每个请求中的刷新令牌 2.2. JavaScript 适配器 Expand section "2.2. JavaScript 适配器" Collapse section "2.2. JavaScript 适配器" 2.2.1. 会话状态 iframe 2.2.2. 隐式和混合流程 2.2.3. 带有 Cordova 的混合应用程序 2.2.4. 自定义适配器 2.2.5. 早期浏览器 2.2.6. 带有跟踪保护的现代浏览器 Expand section "2.2.6. 带有跟踪保护的现代浏览器" Collapse section "2.2.6. 带有跟踪保护的现代浏览器" 2.2.6.1. 带有 "SameSite=Lax by Default" Policy 的浏览器 2.2.6.2. 带有 Blocked 第三方 Cookies 的浏览器 2.2.7. JavaScript Adapter 参考 Expand section "2.2.7. JavaScript Adapter 参考" Collapse section "2.2.7. JavaScript Adapter 参考" 2.2.7.1. Constructor 2.2.7.2. Properties 2.2.7.3. Methods 2.2.7.4. 回调事件 2.3. Node.js adapter Expand section "2.3. Node.js adapter" Collapse section "2.3. Node.js adapter" 2.3.1. 安装 2.3.2. 使用方法 2.3.3. 安装中间件 2.3.4. 配置代理 2.3.5. 检查身份验证 2.3.6. 保护资源 2.3.7. 其他 URL 2.3.8. 完整示例 2.4. 其他 OpenID Connect 库 Expand section "2.4. 其他 OpenID Connect 库" Collapse section "2.4. 其他 OpenID Connect 库" 2.4.1. Endpoints Expand section "2.4.1. Endpoints" Collapse section "2.4.1. Endpoints" 2.4.1.1. 授权端点 2.4.1.2. 令牌端点 2.4.1.3. UserInfo 端点 2.4.1.4. 退出端点 2.4.1.5. 证书端点 2.4.1.6. 内省端点 2.4.1.7. 动态客户端注册端点 2.4.1.8. 令牌撤销端点 2.4.1.9. 设备授权端点 2.4.1.10. Backchannel 身份验证端点 2.4.2. 验证访问令牌 2.4.3. 流 Expand section "2.4.3. 流" Collapse section "2.4.3. 流" 2.4.3.1. 授权代码 2.4.3.2. 隐式 2.4.3.3. 资源所有者密码凭证 Expand section "2.4.3.3. 资源所有者密码凭证" Collapse section "2.4.3.3. 资源所有者密码凭证" 2.4.3.3.1. 使用 CURL 的示例 2.4.3.4. 客户端凭证 2.4.3.5. 设备授权授予 2.4.3.6. 客户端初始化的后台验证授予 2.4.4. 重定向 URI 2.5. 支持财务级 API(FAPI) Expand section "2.5. 支持财务级 API(FAPI)" Collapse section "2.5. 支持财务级 API(FAPI)" 2.5.1. FAPI 客户端配置集 2.5.2. Open Banking Brasil financial-grade API Security Profile 2.5.3. TLS 注意事项 3. 使用 SAML 保护应用程序和服务 Expand section "3. 使用 SAML 保护应用程序和服务" Collapse section "3. 使用 SAML 保护应用程序和服务" 3.1. Java 适配器 Expand section "3.1. Java 适配器" Collapse section "3.1. Java 适配器" 3.1.1. 常规适配器配置 Expand section "3.1.1. 常规适配器配置" Collapse section "3.1.1. 常规适配器配置" 3.1.1.1. SP 元素 3.1.1.2. 服务提供商密钥和关键元素 Expand section "3.1.1.2. 服务提供商密钥和关键元素" Collapse section "3.1.1.2. 服务提供商密钥和关键元素" 3.1.1.2.1. keystore 元素 3.1.1.2.2. 密钥 PEMS 3.1.1.3. SP PrincipalNameMapping 元素 3.1.1.4. RoleIdentifiers 元素 3.1.1.5. RoleMappingsProvider 元素 Expand section "3.1.1.5. RoleMappingsProvider 元素" Collapse section "3.1.1.5. RoleMappingsProvider 元素" 3.1.1.5.1. 基于属性的角色映射提供程序 3.1.1.5.2. 添加您自己的角色映射供应商 3.1.1.6. IDP Element 3.1.1.7. IDP AllowedClockSkew 子元素 3.1.1.8. IDP SingleSignOnService 子元素 3.1.1.9. IDP SingleLogoutService 子元素 3.1.1.10. IDP Keys 子元素 3.1.1.11. IDP HttpClient 子元素 3.1.2. JBoss EAP 适配器 3.1.3. 从 ZIP 文件安装适配器 Expand section "3.1.3. 从 ZIP 文件安装适配器" Collapse section "3.1.3. 从 ZIP 文件安装适配器" 3.1.3.1. JBoss SSO 3.1.3.2. 为 JSESSIONID Cookie 设置 SameSite 值 3.1.4. 从 RPM 安装 JBoss EAP 7 Adapter 3.1.5. 从 RPM 安装 JBoss EAP 6 Adapter Expand section "3.1.5. 从 RPM 安装 JBoss EAP 6 Adapter" Collapse section "3.1.5. 从 RPM 安装 JBoss EAP 6 Adapter" 3.1.5.1. 保护 WAR 3.1.5.2. 使用红帽单点登录 SAML 子系统保护 WAR 3.1.6. Java Servlet 过滤器适配器 3.1.7. 使用身份提供程序注册 3.1.8. 退出 Expand section "3.1.8. 退出" Collapse section "3.1.8. 退出" 3.1.8.1. 在集群环境中注销 3.1.8.2. 退出跨站点情境 3.1.9. 获取断言属性 3.1.10. 错误处理 3.1.11. 故障排除 3.1.12. 多租户 3.2. mod_auth_mellon Apache HTTPD Module Expand section "3.2. mod_auth_mellon Apache HTTPD Module" Collapse section "3.2. mod_auth_mellon Apache HTTPD Module" 3.2.1. 使用红帽单点登录配置 mod_auth_mellon Expand section "3.2.1. 使用红帽单点登录配置 mod_auth_mellon" Collapse section "3.2.1. 使用红帽单点登录配置 mod_auth_mellon" 3.2.1.1. 安装软件包 3.2.1.2. 为 Apache SAML 创建配置目录 3.2.1.3. 配置 Mellon Service Provider 3.2.2. 为 mod_auth_mellon 使用的 cookie 设置 SameSite 值 Expand section "3.2.2. 为 mod_auth_mellon 使用的 cookie 设置 SameSite 值" Collapse section "3.2.2. 为 mod_auth_mellon 使用的 cookie 设置 SameSite 值" 3.2.2.1. 创建服务提供商元数据 3.2.2.2. 将 Mellon Service Provider 添加到红帽单点登录身份提供程序 Expand section "3.2.2.2. 将 Mellon Service Provider 添加到红帽单点登录身份提供程序" Collapse section "3.2.2.2. 将 Mellon Service Provider 添加到红帽单点登录身份提供程序" 3.2.2.2.1. 添加 Mellon Service Provider 作为域的客户端 3.2.2.2.2. 添加 Mellon SP 客户端 3.2.2.2.3. 编辑 Mellon SP 客户端 3.2.2.2.4. 检索身份提供程序元数据 4. 配置 Docker 注册表以使用红帽单点登录 Expand section "4. 配置 Docker 注册表以使用红帽单点登录" Collapse section "4. 配置 Docker 注册表以使用红帽单点登录" 4.1. Docker registry 配置文件安装 4.2. Docker registry 环境变量覆盖安装 4.3. Docker 编译 YAML 文件 5. 使用客户端注册服务 Expand section "5. 使用客户端注册服务" Collapse section "5. 使用客户端注册服务" 5.1. 身份验证 Expand section "5.1. 身份验证" Collapse section "5.1. 身份验证" 5.1.1. bearer 令牌 5.1.2. 初始访问令牌 5.1.3. 注册访问令牌 5.2. Red Hat Single Sign-On 代表 5.3. Red Hat Single Sign-On adapter 配置 5.4. OpenID Connect Dynamic Client Registration 5.5. SAML 实体描述符 5.6. 使用 CURL 的示例 5.7. 使用 Java 客户端注册 API 的示例 5.8. 客户端注册策略 6. 使用 CLI 自动注册客户端 Expand section "6. 使用 CLI 自动注册客户端" Collapse section "6. 使用 CLI 自动注册客户端" 6.1. 配置一个新的常规用户,用于客户端注册 CLI 6.2. 配置客户端以用于客户端注册 CLI 6.3. 安装客户端注册 CLI 6.4. 使用客户端注册 CLI Expand section "6.4. 使用客户端注册 CLI" Collapse section "6.4. 使用客户端注册 CLI" 6.4.1. 登录 6.4.2. 使用其他配置 6.4.3. 初始访问和注册访问令牌 6.4.4. 创建客户端配置 6.4.5. 检索客户端配置 6.4.6. 修改客户端配置 6.4.7. 删除客户端配置 6.4.8. 刷新无效的注册访问令牌 6.5. 故障排除 7. 使用令牌交换 Expand section "7. 使用令牌交换" Collapse section "7. 使用令牌交换" 7.1. 令牌交换如何工作 Expand section "7.1. 令牌交换如何工作" Collapse section "7.1. 令牌交换如何工作" 7.1.1. 表单参数 7.1.2. 来自令牌交换请求的响应 7.2. 内部令牌到内部令牌交换 Expand section "7.2. 内部令牌到内部令牌交换" Collapse section "7.2. 内部令牌到内部令牌交换" 7.2.1. 授予对交换的权限 7.2.2. 发出请求 7.3. 外部令牌交换的内部令牌 Expand section "7.3. 外部令牌交换的内部令牌" Collapse section "7.3. 外部令牌交换的内部令牌" 7.3.1. 授予对交换的权限 7.3.2. 发出请求 7.4. 外部令牌到内部令牌交换 Expand section "7.4. 外部令牌到内部令牌交换" Collapse section "7.4. 外部令牌到内部令牌交换" 7.4.1. 授予对交换的权限 7.4.2. 发出请求 7.5. 模拟(Impersonation) Expand section "7.5. 模拟(Impersonation)" Collapse section "7.5. 模拟(Impersonation)" 7.5.1. 授予对交换的权限 7.5.2. 发出请求 7.6. direct Naked Impersonation Expand section "7.6. direct Naked Impersonation" Collapse section "7.6. direct Naked Impersonation" 7.6.1. 授予对交换的权限 7.6.2. 发出请求 7.7. 使用服务帐户扩展权限模型 7.8. Exchange 漏洞 法律通告 Settings Close Language: 日本語 简体中文 한국어 English Language: 日本語 简体中文 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 日本語 简体中文 한국어 English Language: 日本語 简体中文 한국어 English Format: Multi-page Single-page Format: Multi-page Single-page 保护应用程序和服务指南 Red Hat Single Sign-On 7.6适用于 Red Hat Single Sign-On 7.6Red Hat Customer Content Services法律通告摘要 本指南包含使用红帽单点登录 7.6 保护应用程序和服务的信息 Next