Passerelle d'application
Découvrez comment résoudre les problèmes courants liés à la passerelle d'application.
Le message d'erreur de ma réponse contient : 400 Demande incorrecte : valeur d'en-tête non valide
Découvrez la cause courante lorsqu'un message d'erreur de réponse contient : 400 Bad Request: invalid header value.
La passerelle d'application ajoute des en-têtes aux demandes qui sont transmises par proxy à un serveur d'applications en amont. L'un de ces en-têtes, idcs_user_display_name, peut comporter des caractères non valides tels que définis par la RFC la plus récente, en fonction des valeurs définies pour le prénom et le nom de l'utilisateur du domaine d'identité. Cette nouvelle RFC limite les caractères autorisés aux caractères US-ASCII imprimables (c'est-à-dire, 0x21 - 0x7E et les espaces et les tabulations horizontales). Reportez-vous à la section RFC 7230 HTTP/1.1 Message Syntax and Routing.
Les serveurs d'applications qui appliquent la RFC la plus récente rejetteront la demande avec la réponse : 400 Bad Request : valeur d'en-tête non valide. Remarque : La réponse exacte dépend du serveur d'applications utilisé.
Le serveur de la passerelle d'application ne prend pas en compte les modifications
Lorsque vous ne pouvez pas voir les modifications que vous avez apportées à IAM sur le serveur de passerelle d'application, procédez comme suit.
Les modifications apportées aux applications d'entreprise et aux définitions de passerelle d'application dans les domaines d'identité peuvent ne pas être reflétées immédiatement sur la passerelle d'application car celle-ci met en cache les informations des domaines d'identité, telles que les ressources, les stratégies d'authentification et les valeurs d'en-tête des applications d'entreprise.
La passerelle d'application contacte IAM à l'aide d'agents pour collecter des informations sur l'hôte et le port. Lorsque vous démarrez la passerelle d'application, son serveur NGINX est automatiquement configuré avec ces informations. Toutes les modifications apportées à IAM sont régulièrement interrogées par les agents.
/usr/local/nginx/conf/cloudgate.config. Modifiez la valeur ttl pour policy et headers dans la section caching comme indiqué dans l'exemple suivant, puis redémarrez le serveur de la passerelle d'application et l'agent."caching" : {
"minimumTtl" : 300,
"headers" : { "ttl": 3600 },
"discovery" : { "ttl": 3600 },
"policy" : { "ttl": 3600},
"tenantKeys" : { "ttl": 86400 }
}/usr/local/nginx/conf/cloudgate.config, modifiez la valeur pollIntervalSecs dans la section agentConfig comme dans l'exemple :"agentConfig": {
"pollIntervalSecs" : 60,
"daemon" : true,
"logLevel" : "warn",
"logFolder" : ""
}/scratch/oracle/cloudgate/home/bin/cg-stop
/scratch/oracle/cloudgate/home/bin/cg-start/scratch/oracle/cloudgate/home/bin/agent-stop
/scratch/oracle/cloudgate/home/bin/agent-startMessage Invalid_session
Si la passerelle d'application ne peut pas communiquer correctement avec IAM, des messages invalid_session sont présents dans les fichiers journaux des erreurs de la passerelle d'application.
Voici un exemple de messageinvalid_session dans le fichier error.log :
www-authenticate: Bearer error="invalid_session", error_description="Authentication FailureCela peut être dû à la façon dont la passerelle d'application traite une demande client vers une ressource protégée. La passerelle d'application utilise les sous-demandes NGINX pour envoyer des demandes à IAM, et requiert que le résolveur NGINX Linux soit configuré de manière appropriée afin que ces sous-demandes fonctionnent correctement.
-
Vérifiez que le paramètre de résolveur dans le fichier
/usr/local/nginx/conf/nginx-cg-sub.confest défini sur l'adresse IP correcte. -
Vérifiez que le nom du locataire dans le fichier
/usr/local/nginx/conf/cloudgate.configest configuré correctement.
Erreur de commande GET 127.0.0.1 :53
Les fichiers journaux des erreurs contiennent la commande GET 127.0.0.1 :53 qui renvoie l'erreur 500.
Etant donné que la passerelle d'application envoie des sous-demandes à un servlet interne, elle requiert que votre machine virtuelle écoute le port 53.
Le serveur de la passerelle d'application doit communiquer avec lui-même via l'adresse IP 127.0.0.1 et le port 53.
Si vous exécutez la passerelle d'application dans un logiciel de machine virtuelle, configurez la transmission de port de l'hôte à l'invité pour ce port. Reportez-vous à Configuration de règles de transmission de port.
Le serveur de la passerelle d'application ne peut pas communiquer avec IAM
Lorsque votre serveur A[[ Gateway Server ne peut pas communiquer avec IAM, suivez ces étapes pour utiliser un client SSH tel que PuTTY et les informations d'identification suivantes pour vous connecter au serveur de la passerelle d'application.