Update Identities with Rest

classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

Update Identities with Rest

Baum, Oliver

Hi,

 

I try to update an attribute on an User Profile with a RESTful Web Service. But I get {"code":403,"reason":"Forbidden","message":"Permission to perform the edit operation denied to uid=Q5402066,ou=AST,dc=wwk-group,dc=com"}.

 

The user has follow rights on the ldap (OpenDJ):

 

User can write the attribute.

User can read all attributes.

 

 

What rights do the user need?

 

 

Thanks

 

Oliver

 

 

 

 

WWK Lebensversicherung  a.G.

IT-BuS Vertriebssysteme & SW-Technologie

Marsstrasse 37
80292 Muenchen

 

Telefon: +0049 (89) 5114- 2932   
Fax:      +0049 (89) 5114 2762
<<mailto:
[hidden email]>>

 

Hinweis:
Wie Sie wissen, können über das Internet versandte E-Mails leicht unter fremdem Namen erstellt oder manipuliert werden. Bitte haben Sie deshalb Verständnis, dass wir zu Ihrem und zu unserem Schutz auf diesem Weg keine rechtsverbindlichen Erklärungen abgeben oder entgegennehmen, sofern mit Ihnen keine andere Vereinbarung getroffen wurde.

 

Please consider the environment before printing this e-mail.

 

WWK Lebensversicherung a. G., Vorstand: Jürgen Schrameier (V.), Rainer Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Dr. Frank Schindelhauer, Sitz München, Registergericht München HR B 211; WWK Allgemeine Versicherung AG, Vorstand: Jürgen Schrameier (V.), Rainer Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Werner Quante, Sitz München, Registergericht München HR B 5553; WWK Vermögensverwaltungs und Dienstleistungs GmbH, Geschäftsführer: Karl Ruffing, Stefan Sedlmeir, Sitz München, Registergericht München HR B 76323; WWK Pensionsfonds AG, Vorstand: Ansgar Eckert, Karl Ruffing, Heinrich Schüppert; Vorsitzender des Aufsichtsrats: Dirk Fassott, Sitz München, Registergericht München HR B 146295; Hausanschrift: Marsstraße 37, 80335 München; WWK Investment S.A., Verwaltungsrat: Karl Ruffing (V.), Ansgar Eckert, Stefan Schneider (Hauck & Aufhäuser), Handelsregister: R.C. Luxembourg Nr. B 81 270, Sitz der Gesellschaft: 1c, rue Gabriel Lippmann, L-5365 Munsbach
_______________________________________________
Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
OpenAM mailing list
[hidden email]
https://lists.forgerock.org/mailman/listinfo/openam
Reply | Threaded
Open this post in threaded view
|

Re: Update Identities with Rest

Peter Major
Hi,

this error have nothing to do with OpenDJ ACIs. The most likely root
cause is that you are trying to update a user entry using a session ID
that doesn't actually correspond to the user you are trying to update.
Probably your session is from the top level realm, but the user you are
trying to update belongs to a subrealm.

cheers,
Peter

2016. 03. 29. 10:59 keltezéssel, Baum, Oliver írta:

> Hi,
>
> I try to update an attribute on an User Profile with a RESTful Web
> Service. But I get
> {"code":403,"reason":"Forbidden","message":"Permission to perform the
> edit operation denied to uid=Q5402066,ou=AST,dc=wwk-group,dc=com"}.
>
> The user has follow rights on the ldap (OpenDJ):
>
> User can write the attribute.
>
> User can read all attributes.
>
> What rights do the user need?
>
> Thanks
>
> Oliver
>
> WWK Lebensversicherung  a.G.
>
> IT-BuS Vertriebssysteme & SW-Technologie
>
> Marsstrasse 37
> 80292 Muenchen
>
> Telefon: +0049 (89) 5114- 2932
> Fax:      +0049 (89) 5114 2762
> <<mailto: [hidden email] <mailto:[hidden email]>>>
>
> Hinweis:
> Wie Sie wissen, können über das Internet versandte E-Mails leicht unter
> fremdem Namen erstellt oder manipuliert werden. Bitte haben Sie deshalb
> Verständnis, dass wir zu Ihrem und zu unserem Schutz auf diesem Weg
> keine rechtsverbindlichen Erklärungen abgeben oder entgegennehmen,
> sofern mit Ihnen keine andere Vereinbarung getroffen wurde.
>
> *Please consider the environment before printing this e-mail.*
>
> WWK Lebensversicherung a. G., Vorstand: Jürgen Schrameier (V.), Rainer
> Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Dr.
> Frank Schindelhauer, Sitz München, Registergericht München HR B 211; WWK
> Allgemeine Versicherung AG, Vorstand: Jürgen Schrameier (V.), Rainer
> Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Werner
> Quante, Sitz München, Registergericht München HR B 5553; WWK
> Vermögensverwaltungs und Dienstleistungs GmbH, Geschäftsführer: Karl
> Ruffing, Stefan Sedlmeir, Sitz München, Registergericht München HR B
> 76323; WWK Pensionsfonds AG, Vorstand: Ansgar Eckert, Karl Ruffing,
> Heinrich Schüppert; Vorsitzender des Aufsichtsrats: Dirk Fassott, Sitz
> München, Registergericht München HR B 146295; Hausanschrift: Marsstraße
> 37, 80335 München; WWK Investment S.A., Verwaltungsrat: Karl Ruffing
> (V.), Ansgar Eckert, Stefan Schneider (Hauck & Aufhäuser),
> Handelsregister: R.C. Luxembourg Nr. B 81 270, Sitz der Gesellschaft:
> 1c, rue Gabriel Lippmann, L-5365 Munsbach
>
>
> _______________________________________________
> Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
> OpenAM mailing list
> [hidden email]
> https://lists.forgerock.org/mailman/listinfo/openam
>
_______________________________________________
Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
OpenAM mailing list
[hidden email]
https://lists.forgerock.org/mailman/listinfo/openam
Reply | Threaded
Open this post in threaded view
|

Re: Update Identities with Rest

Baum, Oliver
Hi,

this is what I do.

I connect to a special realm:

curl \
--request POST \
 --header "X-OpenAM-Username: username" \
 --header "X-OpenAM-Password: pwd" \
 --header "Content-Type: application/json" \
 --data "{}"  \n
http://XXX:7001/openam/json/wwkrealm/authenticate
{"tokenId":"AQIC5wM2LY4SfcwsQf5ZvT-hgrwO1f4sNfHWDuWyt25J8lA.*AAJTSQACMDEAAlNLABQtNDgzODM2NjU2MDg5NjA1NTI2Mg..*","successUrl":"/openam/console"}


And then I want to change the attribute:


curl \
--request PUT \
--header "iplanetDirectoryPro: AQIC5wM2LY4SfcwsQf5ZvT-hgrwO1f4sNfHWDuWyt25J8lA.*AAJTSQACMDEAAlNLABQtNDgzODM2NjU2MDg5NjA1NTI2Mg..*" \
--header "Content-Type: application/json" \
--data "{ \"wwkmail\": \"[hidden email]\" }" \
http://XXX:7001/openam/json/wwkrealm/users/username


I think I have the correct session but I get the error.


Regards,
Oliver




-----Ursprüngliche Nachricht-----
Von: [hidden email] [mailto:[hidden email]] Im Auftrag von Peter Major
Gesendet: Dienstag, 29. März 2016 12:06
An: Users
Betreff: Re: [OpenAM] Update Identities with Rest

Hi,

this error have nothing to do with OpenDJ ACIs. The most likely root
cause is that you are trying to update a user entry using a session ID
that doesn't actually correspond to the user you are trying to update.
Probably your session is from the top level realm, but the user you are
trying to update belongs to a subrealm.

cheers,
Peter

2016. 03. 29. 10:59 keltezéssel, Baum, Oliver írta:

> Hi,
>
> I try to update an attribute on an User Profile with a RESTful Web
> Service. But I get
> {"code":403,"reason":"Forbidden","message":"Permission to perform the
> edit operation denied to uid=Q5402066,ou=AST,dc=wwk-group,dc=com"}.
>
> The user has follow rights on the ldap (OpenDJ):
>
> User can write the attribute.
>
> User can read all attributes.
>
> What rights do the user need?
>
> Thanks
>
> Oliver
>
> WWK Lebensversicherung  a.G.
>
> IT-BuS Vertriebssysteme & SW-Technologie
>
> Marsstrasse 37
> 80292 Muenchen
>
> Telefon: +0049 (89) 5114- 2932
> Fax:      +0049 (89) 5114 2762
> <<mailto: [hidden email] <mailto:[hidden email]>>>
>
> Hinweis:
> Wie Sie wissen, können über das Internet versandte E-Mails leicht unter
> fremdem Namen erstellt oder manipuliert werden. Bitte haben Sie deshalb
> Verständnis, dass wir zu Ihrem und zu unserem Schutz auf diesem Weg
> keine rechtsverbindlichen Erklärungen abgeben oder entgegennehmen,
> sofern mit Ihnen keine andere Vereinbarung getroffen wurde.
>
> *Please consider the environment before printing this e-mail.*
>
> WWK Lebensversicherung a. G., Vorstand: Jürgen Schrameier (V.), Rainer
> Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Dr.
> Frank Schindelhauer, Sitz München, Registergericht München HR B 211; WWK
> Allgemeine Versicherung AG, Vorstand: Jürgen Schrameier (V.), Rainer
> Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Werner
> Quante, Sitz München, Registergericht München HR B 5553; WWK
> Vermögensverwaltungs und Dienstleistungs GmbH, Geschäftsführer: Karl
> Ruffing, Stefan Sedlmeir, Sitz München, Registergericht München HR B
> 76323; WWK Pensionsfonds AG, Vorstand: Ansgar Eckert, Karl Ruffing,
> Heinrich Schüppert; Vorsitzender des Aufsichtsrats: Dirk Fassott, Sitz
> München, Registergericht München HR B 146295; Hausanschrift: Marsstraße
> 37, 80335 München; WWK Investment S.A., Verwaltungsrat: Karl Ruffing
> (V.), Ansgar Eckert, Stefan Schneider (Hauck & Aufhäuser),
> Handelsregister: R.C. Luxembourg Nr. B 81 270, Sitz der Gesellschaft:
> 1c, rue Gabriel Lippmann, L-5365 Munsbach
>
>
> _______________________________________________
> Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
> OpenAM mailing list
> [hidden email]
> https://lists.forgerock.org/mailman/listinfo/openam
>
_______________________________________________
Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
OpenAM mailing list
[hidden email]
https://lists.forgerock.org/mailman/listinfo/openam

WWK Lebensversicherung a. G., Vorstand: Jürgen Schrameier (V.), Rainer Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Dr. Frank Schindelhauer, Sitz München, Registergericht München HR B 211; WWK Allgemeine Versicherung AG, Vorstand: Jürgen Schrameier (V.), Rainer Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Werner Quante, Sitz München, Registergericht München HR B 5553; WWK Vermögensverwaltungs und Dienstleistungs GmbH, Geschäftsführer: Karl Ruffing, Stefan Sedlmeir, Sitz München, Registergericht München HR B 76323; WWK Pensionsfonds AG, Vorstand: Ansgar Eckert, Karl Ruffing, Heinrich Schüppert; Vorsitzender des Aufsichtsrats: Dirk Fassott, Sitz München, Registergericht München HR B 146295; Hausanschrift: Marsstraße 37, 80335 München; WWK Investment S.A., Verwaltungsrat: Karl Ruffing (V.), Ansgar Eckert, Stefan Schneider (Hauck & Aufhäuser), Handelsregister: R.C. Luxembourg Nr. B 81 270, Sitz der Gesellschaft: 1c, rue Gabriel Lippmann, L-5365 Munsbach

_______________________________________________
Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
OpenAM mailing list
[hidden email]
https://lists.forgerock.org/mailman/listinfo/openam
Reply | Threaded
Open this post in threaded view
|

Re: Update Identities with Rest

Peter Major
The error message said:
uid=Q5402066,ou=AST,dc=wwk-group,dc=com

did you add "u" in the error message yourself? Or is the above user the
account you have configured in the data store settings?
IdRepo debug log snippets may prove helpful.

cheers,
Peter

2016. 03. 29. 11:18 keltezéssel, Baum, Oliver írta:

> Hi,
>
> this is what I do.
>
> I connect to a special realm:
>
> curl \
> --request POST \
>   --header "X-OpenAM-Username: username" \
>   --header "X-OpenAM-Password: pwd" \
>   --header "Content-Type: application/json" \
>   --data "{}"  \n
> http://XXX:7001/openam/json/wwkrealm/authenticate
> {"tokenId":"AQIC5wM2LY4SfcwsQf5ZvT-hgrwO1f4sNfHWDuWyt25J8lA.*AAJTSQACMDEAAlNLABQtNDgzODM2NjU2MDg5NjA1NTI2Mg..*","successUrl":"/openam/console"}
>
>
> And then I want to change the attribute:
>
>
> curl \
> --request PUT \
> --header "iplanetDirectoryPro: AQIC5wM2LY4SfcwsQf5ZvT-hgrwO1f4sNfHWDuWyt25J8lA.*AAJTSQACMDEAAlNLABQtNDgzODM2NjU2MDg5NjA1NTI2Mg..*" \
> --header "Content-Type: application/json" \
> --data "{ \"wwkmail\": \"[hidden email]\" }" \
> http://XXX:7001/openam/json/wwkrealm/users/username
>
>
> I think I have the correct session but I get the error.
>
>
> Regards,
> Oliver
>
>
>
>
> -----Ursprüngliche Nachricht-----
> Von: [hidden email] [mailto:[hidden email]] Im Auftrag von Peter Major
> Gesendet: Dienstag, 29. März 2016 12:06
> An: Users
> Betreff: Re: [OpenAM] Update Identities with Rest
>
> Hi,
>
> this error have nothing to do with OpenDJ ACIs. The most likely root
> cause is that you are trying to update a user entry using a session ID
> that doesn't actually correspond to the user you are trying to update.
> Probably your session is from the top level realm, but the user you are
> trying to update belongs to a subrealm.
>
> cheers,
> Peter
>
> 2016. 03. 29. 10:59 keltezéssel, Baum, Oliver írta:
>> Hi,
>>
>> I try to update an attribute on an User Profile with a RESTful Web
>> Service. But I get
>> {"code":403,"reason":"Forbidden","message":"Permission to perform the
>> edit operation denied to uid=Q5402066,ou=AST,dc=wwk-group,dc=com"}.
>>
>> The user has follow rights on the ldap (OpenDJ):
>>
>> User can write the attribute.
>>
>> User can read all attributes.
>>
>> What rights do the user need?
>>
>> Thanks
>>
>> Oliver
>>
>> WWK Lebensversicherung  a.G.
>>
>> IT-BuS Vertriebssysteme & SW-Technologie
>>
>> Marsstrasse 37
>> 80292 Muenchen
>>
>> Telefon: +0049 (89) 5114- 2932
>> Fax:      +0049 (89) 5114 2762
>> <<mailto: [hidden email] <mailto:[hidden email]>>>
>>
>> Hinweis:
>> Wie Sie wissen, können über das Internet versandte E-Mails leicht unter
>> fremdem Namen erstellt oder manipuliert werden. Bitte haben Sie deshalb
>> Verständnis, dass wir zu Ihrem und zu unserem Schutz auf diesem Weg
>> keine rechtsverbindlichen Erklärungen abgeben oder entgegennehmen,
>> sofern mit Ihnen keine andere Vereinbarung getroffen wurde.
>>
>> *Please consider the environment before printing this e-mail.*
>>
>> WWK Lebensversicherung a. G., Vorstand: Jürgen Schrameier (V.), Rainer
>> Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Dr.
>> Frank Schindelhauer, Sitz München, Registergericht München HR B 211; WWK
>> Allgemeine Versicherung AG, Vorstand: Jürgen Schrameier (V.), Rainer
>> Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Werner
>> Quante, Sitz München, Registergericht München HR B 5553; WWK
>> Vermögensverwaltungs und Dienstleistungs GmbH, Geschäftsführer: Karl
>> Ruffing, Stefan Sedlmeir, Sitz München, Registergericht München HR B
>> 76323; WWK Pensionsfonds AG, Vorstand: Ansgar Eckert, Karl Ruffing,
>> Heinrich Schüppert; Vorsitzender des Aufsichtsrats: Dirk Fassott, Sitz
>> München, Registergericht München HR B 146295; Hausanschrift: Marsstraße
>> 37, 80335 München; WWK Investment S.A., Verwaltungsrat: Karl Ruffing
>> (V.), Ansgar Eckert, Stefan Schneider (Hauck & Aufhäuser),
>> Handelsregister: R.C. Luxembourg Nr. B 81 270, Sitz der Gesellschaft:
>> 1c, rue Gabriel Lippmann, L-5365 Munsbach
>>
>>
>> _______________________________________________
>> Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
>> OpenAM mailing list
>> [hidden email]
>> https://lists.forgerock.org/mailman/listinfo/openam
>>
> _______________________________________________
> Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
> OpenAM mailing list
> [hidden email]
> https://lists.forgerock.org/mailman/listinfo/openam
>
> WWK Lebensversicherung a. G., Vorstand: Jürgen Schrameier (V.), Rainer Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Dr. Frank Schindelhauer, Sitz München, Registergericht München HR B 211; WWK Allgemeine Versicherung AG, Vorstand: Jürgen Schrameier (V.), Rainer Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Werner Quante, Sitz München, Registergericht München HR B 5553; WWK Vermögensverwaltungs und Dienstleistungs GmbH, Geschäftsführer: Karl Ruffing, Stefan Sedlmeir, Sitz München, Registergericht München HR B 76323; WWK Pensionsfonds AG, Vorstand: Ansgar Eckert, Karl Ruffing, Heinrich Schüppert; Vorsitzender des Aufsichtsrats: Dirk Fassott, Sitz München, Registergericht München HR B 146295; Hausanschrift: Marsstraße 37, 80335 München; WWK Investment S.A., Verwaltungsrat: Karl Ruffing (V.), Ansgar Eckert, Stefan Schneider (Hauck & Aufhäuser), Handelsregister: R.C. Luxembourg Nr. B 81 270, Sitz der Gesellschaft: 1c, rue Gabriel Lippmann, L-5365 Mu
nsbach
>
> _______________________________________________
> Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
> OpenAM mailing list
> [hidden email]
> https://lists.forgerock.org/mailman/listinfo/openam
>
_______________________________________________
Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
OpenAM mailing list
[hidden email]
https://lists.forgerock.org/mailman/listinfo/openam
Reply | Threaded
Open this post in threaded view
|

Re: Update Identities with Rest

Bernhard Thalmayr
In reply to this post by Baum, Oliver
Why would you use OpenAM for identity management at all?

You should only do this if you exactly know how the IdRepo API is meant
to work.

-Bernhard

Am 29/03/16 um 11:59 schrieb Baum, Oliver:

> Hi,
>
>  
>
> I try to update an attribute on an User Profile with a RESTful Web
> Service. But I get
> {"code":403,"reason":"Forbidden","message":"Permission to perform the
> edit operation denied to uid=Q5402066,ou=AST,dc=wwk-group,dc=com"}.
>
>  
>
> The user has follow rights on the ldap (OpenDJ):
>
>  
>
> User can write the attribute.
>
> User can read all attributes.
>
>  
>
>  
>
> What rights do the user need?
>
>  
>
>  
>
> Thanks
>
>  
>
> Oliver
>
>  
>
>  
>
>  
>
>  
>
> WWK Lebensversicherung  a.G.
>
> IT-BuS Vertriebssysteme & SW-Technologie
>
> Marsstrasse 37
> 80292 Muenchen
>
>  
>
> Telefon: +0049 (89) 5114- 2932  
> Fax:      +0049 (89) 5114 2762
> <<mailto: [hidden email] <mailto:[hidden email]>>>
>
>  
>
> Hinweis:
> Wie Sie wissen, können über das Internet versandte E-Mails leicht unter
> fremdem Namen erstellt oder manipuliert werden. Bitte haben Sie deshalb
> Verständnis, dass wir zu Ihrem und zu unserem Schutz auf diesem Weg
> keine rechtsverbindlichen Erklärungen abgeben oder entgegennehmen,
> sofern mit Ihnen keine andere Vereinbarung getroffen wurde.
>
>  
>
> *Please consider the environment before printing this e-mail.*
>
>  
>
> WWK Lebensversicherung a. G., Vorstand: Jürgen Schrameier (V.), Rainer
> Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Dr.
> Frank Schindelhauer, Sitz München, Registergericht München HR B 211; WWK
> Allgemeine Versicherung AG, Vorstand: Jürgen Schrameier (V.), Rainer
> Gebhart (stv. V.), Dirk Fassott; Vorsitzender des Aufsichtsrats: Werner
> Quante, Sitz München, Registergericht München HR B 5553; WWK
> Vermögensverwaltungs und Dienstleistungs GmbH, Geschäftsführer: Karl
> Ruffing, Stefan Sedlmeir, Sitz München, Registergericht München HR B
> 76323; WWK Pensionsfonds AG, Vorstand: Ansgar Eckert, Karl Ruffing,
> Heinrich Schüppert; Vorsitzender des Aufsichtsrats: Dirk Fassott, Sitz
> München, Registergericht München HR B 146295; Hausanschrift: Marsstraße
> 37, 80335 München; WWK Investment S.A., Verwaltungsrat: Karl Ruffing
> (V.), Ansgar Eckert, Stefan Schneider (Hauck & Aufhäuser),
> Handelsregister: R.C. Luxembourg Nr. B 81 270, Sitz der Gesellschaft:
> 1c, rue Gabriel Lippmann, L-5365 Munsbach
>
>
> _______________________________________________
> Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
> OpenAM mailing list
> [hidden email]
> https://lists.forgerock.org/mailman/listinfo/openam
>


--
Painstaking Minds
IT-Consulting Bernhard Thalmayr
Herxheimer Str. 5, 83620 Vagen (Munich area), Germany
Tel: +49 (0)8062 7769174
Mobile: +49 (0)176 55060699

[hidden email] - Solution Architect
http://www.xing.com/profile/Bernhard_Thalmayr
http://de.linkedin.com/in/bernhardthalmayr

This e-mail may contain confidential and/or privileged information.If
you are not the intended recipient (or have received this email in
error) please notify the sender immediately and delete this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.
_______________________________________________
Visit the OpenAM forum at https://forgerock.org/forum/fr-projects/openam/
OpenAM mailing list
[hidden email]
https://lists.forgerock.org/mailman/listinfo/openam