{"id":7641,"date":"2022-05-10T08:38:00","date_gmt":"2022-05-10T06:38:00","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=7641"},"modified":"2022-05-10T10:39:03","modified_gmt":"2022-05-10T08:39:03","slug":"kudos-huddo-boards-docker-automatisch-per-oauth-authentifizieren-mit-spnego-sso","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/kudos-huddo-boards-docker-automatisch-per-oauth-authentifizieren-mit-spnego-sso\/","title":{"rendered":"Kudos\/Huddo Boards Docker automatisch per OAuth Authentifizieren (mit SPNEGO SSO)"},"content":{"rendered":"

Das auf Docker basierte Boarts nutzt OAuth, um Connections-Benutzer zu authentifizieren. Dazu erscheint regelm\u00e4\u00dfig das Authentifizierungs-Popup:<\/p>\n

\"\"<\/a><\/figure>\n

Hier muss der Nutzer den Zugriff best\u00e4tigen, auch wenn er bereits in Connections angemeldet ist. Dies l\u00e4sst sich nutzerfreundlicher gestalten, in dem man die automatische Autorisierung aktiviert. Daf\u00fcr muss der Client als privilegiert<\/em> markiert werden.<\/p>\n

Zun\u00e4chst ben\u00f6tigen wir die Id des OAuth-Clients. Standardm\u00e4\u00dfig ist das huddoboards<\/strong>, im Zweifel kann man in einer wsadmin-Konsole nachschauen:<\/p>\n

execfile('oauthAdmin.py')\nOAuthApplicationRegistrationService.browseApplications()<\/code><\/pre>\n
Den hinterlegen wir in connectionsProvider.xml<\/strong> auf dem Deployment-Manager als vertrauensw\u00fcrdigen Client. Die Datei befindet sich im Unterordner oauth20<\/strong>, beispielsweise \/opt\/IBM\/WebSphere\/AppServer\/profiles\/Dmgr01\/config\/cells\/CnxCell01\/oauth20\/connectionsProvider.xml<\/strong>. Anschlie\u00dfend eine vollst\u00e4ndige Neusynchronisation durchf\u00fchren und per wsadmin neu registrieren:<\/p>\n
wsadmin>print AdminTask.createOAuthProvider('[-providerName connectionsProvider -fileName \/opt\/IBM\/WebSphere\/AppServer\/profiles\/Dmgr01\/config\/cells\/CnxCell01\/oauth20\/connectionsProvider.xml]')\nwsadmin><\/code><\/pre>\n
Man erh\u00e4lt keine Ausgabe. Wichtig: Unbedingt den Pfad im Profil des Deployment-Managers nutzen! Mit dem Pfad im Node funktionierte es in meinem Test nicht, dies hatte in Board folgende Fehlermeldung zur Folge:<\/p>\n
\"\"<\/a><\/figure>\n
Ausnahme f\u00fcr SPNEGO SSO erstellen<\/h2>\n
Wird SSO per SPNEGO genutzt, sollte die URL zum neuen Boards darin ausgeschlossen werden. Die \/oauth2\/endpoint<\/strong> Pr\u00e4fixe sind bereits als Ausnahme festgelegt, gegebenfalls pr\u00fcfen. Wenn Boards im Verzeichnis \/boards<\/strong> bereitgestellt wird, folgende Regel unter Global security > SPNEGO web authentication zum Filter hinzuf\u00fcgen:<\/p>\n
;request-url!=\/boards<\/code><\/pre>\n
So sieht das OAuth SSO aus<\/h2>\n
Wenn die Sitzung abgelaufen ist, muss sich der Nutzer lediglich noch f\u00fcr den Authentifizierungsprovider entscheiden. Sobald dieser angeklickt wird, „best\u00e4tigt“ Connections den Zugriff durch das Vertrauensverh\u00e4ltnis automatisch und das Board wird geladen:<\/p>\n
\"\"<\/a><\/figure>\n","protected":false},"excerpt":{"rendered":"
Das auf Docker basierte Boarts nutzt OAuth, um Connections-Benutzer zu authentifizieren. Dazu erscheint regelm\u00e4\u00dfig das Authentifizierungs-Popup: Hier muss der Nutzer den Zugriff best\u00e4tigen, auch wenn er bereits in Connections angemeldet ist. Dies l\u00e4sst sich nutzerfreundlicher gestalten, in dem man die automatische Autorisierung aktiviert. Daf\u00fcr muss der Client als privilegiert markiert werden. Zun\u00e4chst ben\u00f6tigen wir die …<\/p>\n","protected":false},"author":5,"featured_media":7642,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[765],"tags":[957,764,958],"class_list":["post-7641","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hcl-connections","tag-boards","tag-kudos-boards","tag-oauth"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/7641","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=7641"}],"version-history":[{"count":4,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/7641\/revisions"}],"predecessor-version":[{"id":8903,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/7641\/revisions\/8903"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/7642"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=7641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=7641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=7641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}