1

我按照以下 WSO2 文档中提到的步骤将 WSO2 IS 用作带有 WSO2 APIM 的身份服务器。

我使用 WSO2 IS 5.3.0 和 WSO2 APIM 2.1.0。

https://docs.wso2.com/display/AM210/Configuring+WSO2+Identity+Server+as+a+Key+Manager

我能够在 WSO2 IS 和 WSO2 APIM 中访问 c​​arbon 管理控制台(在两个端口中)

https://localhost:9443/carbon/admin/login.jsp https://localhost:9444/carbon/admin/login.jsp

  1. 当我使用 WSO2 IS 控制台 (9443) 更改用户角色时,大多数情况下它会立即反映,使用相同的访问令牌。怎么可能?WSO2 提供了一个访问令牌,其中包含一些预配置的范围。在同一个登录会话中,即使在访问令牌过期之前,如果我们更改登录用户的角色,角色更改会立即应用并且我的访问权限也会更改?它是有效的吗?

假设用户“USER1”获得了具有特权的访问令牌,并且他/她能够访问特权 API。突然,如果角色发生了变化,并且用户“USER1”被分配了一个正常的用户权限,并且用户无法在同一个登录会话中访问特权 API。这是 OAuth 的工作原理吗?

请帮我理解。

  1. 如果我更改 WSO2 APIM (9444) 中的角色,这些角色不会立即得到反映。有时,它会等待访问令牌过期并获取新的访问令牌。有时,角色更改甚至在访问令牌过期之前就已应用。

WSO2 IS 和 WSO2 APIM 之间的同步间隔是多少,以同步角色?

我在 mysql db 或 ldap 中找不到这些角色。它们存储在后端的什么位置?

4

1 回答 1

1

IS 作为密钥管理器和 API Manager 的内置密钥管理器存在差异。API Manager 附带的密钥管理器并不是一个成熟的身份解决方案。因此,从身份管理方面的角度来看,它在范围映射、访问控制等方面的作用有些受限。充当密钥管理器的身份服务器提供了完整的访问控制机制,因此角色的更改应尽快影响,即使对于问题密钥也是如此。这是使用 IS 作为密钥管理器的原因之一。

  1. 问题 1

回答:假设用户在获得访问令牌时具有管理员权限。企业可能会决定用户不再需要此权限并在其 LDAP 上进行更改。它应该尽快反映在密钥验证上。否则,用户将继续以特权用户身份访问服务,直到密钥过期,这是不可取的。所以行为是有效的。

  1. 问题2

Ans: 是的,API Manager 擅长管理 API。但是,它不是一个使用/角色管理系统。因此,在反映角色变化方面会有相当大的延迟。因此,当您的 API Manager 配置了 IS 时,请确保您使用 IS 来管理用户/角色等。

  • 您配置的角色在哪里

如果 JDBC 用户存储是您的主用户存储,它应该在 WSO2UM_DB 中配置(UM_ROLE 表)。

于 2017-09-16T05:40:31.920 回答