Fiware - 如何集成 Keyrock IdM、Wilma PEP 代理和 Orion Context Broker?

【问题标题】:Fiware - How to integrate Keyrock IdM, Wilma PEP Proxy and Orion Context Broker?Fiware - 如何集成 Keyrock IdM、Wilma PEP 代理和 Orion Context Broker?
【发布时间】:2017-04-21 07:59:48
【问题描述】:

我阅读了 Keyrock 和 Wilma 的所有文档,并观看了 FIWARE 学院的所有视频,但我仍然没有在此集成中取得成功。我从几天前开始就在寻找这个,但没有成功。我认为FIWARE文档可以有教程,动手......

我有一个带有 Orion Context Broker 的 VM 和一个带有 Keyrock IdM 和 Wilma PEP 代理的容器。我正在尝试生成访问令牌以授予应用程序访问权限,但我仍然没有得到它。此外,我想知道如何在 Orion Context Broker 和一些物联网设备之间安全地交换消息。事实上,考虑 IoT 设备必须访问屏幕并将其凭据进行身份验证和授权(如 Keyrock IdM 示例所示)是很复杂的。你有什么建议?

【问题讨论】:

  • 我建议您按照 Keyrock 课程 (edu.fiware.org/course/view.php?id=79) 第 3 课中说明的步骤了解如何创建 OAuth2 令牌。可以在此处找到详细文档 (fiware-idm.readthedocs.io/en/latest/oauth2.html)。关于 Orion 的问题,我物联网团队的同事会为您提供帮助。
  • 阅读问题帖子,不确定哪个特定问题是针对 Orion 的...@Dalton,您能详细说明一下吗?谢谢!
  • 亲爱的@Alvaro,我已经看过Fiware Academy 的所有视频,包括第3 课(我看了两遍)。我在本地 IdM 实例中创建访问令牌时遇到问题。我已经在我的 IdM 门户中创建了应用程序,它为我提供了客户端 ID 和秘密 ID。但是我对如何请求有效的访问令牌有疑问。现在,经过一番搜索,我发现并获得了一个带有 POST 到idm:8000/oauth2/token 的访问令牌。我用idm:8000/user?access_token="mytoken" 对它进行了测试,请求用户信息并且它有效。
  • 现在,我还有一个疑问,@Alvaro:通过 POST idm:8000/oauth2/token (Keyrock Horizo​​n) 获得的令牌与通过 GET idm:5000/v2.0/tokens (Keyrock Keystone) 获得的令牌有什么区别?能否请您解释一下并举例说明?
  • @Dalton,使用 Keystone API (/v2.0/tokens) 创建的令牌正是这样,Keystone 令牌通常用于执行 Openstack 服务的操作。另一方面,使用 OAuth2 API (/oauth2/token) 创建的令牌是用于在遵循 OAuth2 规范的外部应用程序范围内对用户进行身份验证的访问令牌

标签: fiware fiware-orion fiware-wilma


【解决方案1】:

关于 Orion,它取决于要保护的接口,服务 API(即 Orion 通常在端口 1026 上运行的侦听 REST 服务器)、通知 API 或两者:

  • 关于服务 API:
    • 认证授权:可以通过PEP实现。 以下documentation 介绍了两种 PEP 替代方案 实施。但是,请注意 PEP 不能独立工作,因为它 还需要 IDM 和访问控制才能工作。我明白@Alvaro 可以详细解释这个话题(关于 Wilma PEP)。出来了 据我所知。
    • 加密:可以通过代理作为 HTTPS-to-HTTP 来实现 桥接(例如ngnix)或 Orion 本身使用 -https CLI 参数(与-key-cert 结合使用)。这 section of the documentation 详细说明。
  • 关于通知 API:
    • 身份验证和授权:当前的实现 自定义通知(请参阅NGSIv2 规范中的“自定义通知”部分)允许您包含自定义 HTTP 标头 可用于身份验证(例如,需要 X-Auth-Token 标头 由保护您的端点的 PEP 实例)。注意 目前这是以静态方式完成的,即 Orion 无法 直接与 IDM/AccessControl 交互以设置X-Auth-Token 到期后动态值等。但是,有可能开发一个 进程能够做到这一点并设置正确的标题(如果您有兴趣 在此我建议检查"How to add a custom header in outgoing notifications with Orion?" 帖子)。
    • 加密:可以在Rush组件中实现中继。这 section of the documentation 详细说明。

更新:从 1.7.0 版开始,Orion 实现了原生 HTTPS 通知(即不需要 Rush)。

【讨论】:

  • 感谢@fgalan 的回答。关于第一部分(服务 API),我已经阅读了文档(Security Considerations,如之前的评论中所述。我有 IdM(Keyrock)和 PEP 代理(Wilma)在 docker 容器中运行(我认为访问控制 - AuthZForce - 现在没有必要)。我的怀疑是在实际方面,因为我们没有这种集成的例子(“动手指南”会非常有用)。此外,文档不清楚如何使用-https(无示例)。
  • command line options page 中“httpsPrepare.sh”的链接不再有效。这使得配置环境更加困难。关于第二部分,我将按照您的建议提出一个单独的问题。
  • 不确定我是否理解这个问题...如果 nginx 正确配置为实现 HTTPS 到 HTTP 桥接(正如我从您的最后评论中理解的那样),那么您将发送 HTTPS 请求到nginx 在 secuence 中将使用 HTTP 向 Orion 发送相同的请求。然后,Orion 将使用 HTTP 响应到 nginx,nginx 依次将响应转发到 HTTPS 中的原始客户端。
  • 太棒了!也许您可以在这篇文章中编辑您的答案,以添加您上面提到的 nginx 配置,以便其他用户可以从中受益(目前作为 cmets 线程的一部分,它可能更难找到)
  • @Dalton,它看起来很完美。谢谢!
【解决方案2】:

看到@albertinisg here 的回答,我找到了一个bash script 用于令牌请求。我将其更改为与我的本地实例一起使用,并且它有效。

在 FIWARE 门户 (more information here) 注册我的应用程序后,我必须向 http://idm:8000/oauth2/token 发出 POST 请求(idm 是我的本地 Keyrock 实例)。有了这个有效的令牌,我就可以访问 Orion 中的内容了。

import requests, json, getpass

TOKEN_URL = "http://idm:5000/v2.0/tokens"

USER = raw_input("Username: ")
PASSWORD = getpass.getpass("Password: ")
PAYLOAD = "{\"auth\": {\"passwordCredentials\": {\"username\":\""+USER+"\", \"password\":\""+PASSWORD+"\"}}}"
HEADERS =  {'content-type': 'application/json'}
RESP = requests.post(TOKEN_URL, data=PAYLOAD, headers=HEADERS)

PEP 代理 (Wilma) 配置 (config.js):

config.app_host = 'my_orion_ip'; //change to your Orion address
config.app_port = '1026'; //change to your Orion port

config.username = 'pep_proxy_credential_obtained_at_portal';
config.password = 'password_obtained_at_portal';

使用有效令牌和运行此配置的 PEP 代理 (Wilma) 服务器,可以控制对 Orion 的访问,以向 PEP 代理地址发出请求。 PEP 代理将此请求重定向到 IdM (Keyrock),以便 IdM 可以验证用户/设备凭据。如果凭据有效,用户/设备将收到一个有效的令牌,现在 PEP 代理可以允许访问 Orion。

对于 HTTPS 通信,我将 Nginx 服务器配置为充当反向代理(.conf 文件):

server {
   listen       443;
   server_name  orion;

   ssl                  on;
   ssl_certificate      /etc/nginx/ssl/orion.crt;
   ssl_certificate_key  /etc/nginx/ssl/orion.key;
   ...
   ...
   location / {
      #root   orion:1026;   #/var/www/yourdomain.com;
       #index  index.php index.html index.htm;
       proxy_set_header        Host $host;
       proxy_set_header        X-Real-IP $remote_addr;
       proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
       proxy_set_header        X-Forwarded-Proto $scheme;

       # Fix the “It appears that your reverse proxy set up is broken" error.
       proxy_pass          http://orion:1026;
       proxy_read_timeout  90;
       proxy_redirect      http://orion:1026 https://orion;
   }
}

我做了一个关于FIWARE Orion、Wilma和Keyrock集成的简单教程:https://www.slideshare.net/daltoncezane/integrating-fiware-orion-keyrock-and-wilma

我希望这个答案可以帮助别人。

【讨论】:

    【解决方案3】:

    以下演示将逐步向您展示如何创建基于 FIWARE 的物联网平台并使用 PEP 代理、Keystone 和 Keypass 保护它。

    https://docs.google.com/presentation/d/18LaWZSK4h2wncPF6hNAwK5MToLvJesR3XLrzsqrsmrw/edit?usp=sharing

    希望对你有帮助

    谢谢

    【讨论】:

      猜你喜欢
      • 2017-12-14
      • 2021-07-13
      • 1970-01-01
      • 2015-06-20
      • 2017-12-03
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode