“未為應用程序創建AZF域” AuthZforce

Question

我有一個使用KeyRock，PEP，PDP（AuthZForce）的應用程序。

使用Keyrock和PEP的安全級別1（身份驗證）正在工作，但是當我們嘗試使用AuthZForce來檢查授權時，我收到了錯誤消息：

AZF domain not created for application

我有按照《 Fiware IdM用戶和程序員指南》中的步驟創建的用戶和應用程序。

我還能夠按照AuthZForce-安裝和管理指南中的說明創建域，但是在創建域ID時，我不知道如何將其與用戶角色綁定。

那么，如何在特定域下插入用戶/組織/應用程序，然后設置安全級別2？

我的config.js文件：

config.azf = {
    enabled: true,
    host: '192.168.99.100',
    port: 8080,
    path: '/authzforce/domains/',
    custom_policy: undefined  
};

我的docker-compose.yml文件是：

authzforce:
    image: fiware/authzforce-ce-server:release-5.4.1
    hostname: authzforce
    container_name: authzforce
    ports:
      - "8080:8080"

keyrock:
    image: fiware/idm:v5.4.0
    hostname: keyrock
    container_name: keyrock 
    ports:
        - "5000:5000"
        - "8000:8000" 

pepproxy:
    build: Docker/fiware-pep-proxy
    hostname: pepproxy
    container_name: pepproxy
    ports:
        - 80:80
    links:
        - authzforce
        - keyrock 

這個問題與AuthZForce安全級別2：基本授權錯誤“未為應用程序創建AZF域”相同，但是我遇到相同的錯誤，並且我的keyrock版本是v5.4.0。

Answer 1

我更改了AuthZForce GE配置： http ://fiware-idm.readthedocs.io/en/latest/admin_guide.html#authzforce-ge-configuration

Answer 2

查看地平線源代碼后，我發現如果ACCESS_CONTROL_MAGIC_KEY為None（默認配置）或為空字符串，則openstack_dashboard / fiware_api / access_control_ge.py中的函數“ policyset_update”會立即返回，因此從未與AuthZForce進行通信。 盡管在沒有PEP代理后面的AuthZForce時此參數是可選的，但您必須輸入一些文本以避免此錯誤。

在您的情況下，您的字符串“未定義”完成了工作。 實際上，結果是生成了“ X-Auth-Token：未定義”，但在Horizo​​n與AuthZForce直接通信時被忽略。

相關主題： Fiware AuthZForce錯誤：“未為應用程序創建AZF域”