如何使用Wilma PEP代理和IdM Keyrock在Orion NGSI API中配置访问控制以隔离租户?
[英]How to configure access control in Orion NGSI API for tenant isolation using Wilma PEP Proxy and IdM Keyrock?
问题描述
我想在Orion Context Broker NGSI API级别上提供访问控制,以确保真正的数据隔离。 我想确保一个租户只能查询/更新其上下文,而不能查询其他租户的上下文。
为此,我开始在Orion Context Broker之前放置一个Wilma PEP代理实例。 然后我根据官方配置自己的Identity Manager keyrock GE例如身份管理Keyrock码头工人形象和我自己根据官方授权PDP GE AuthzForce码头工人的形象。
经过几天的配置和多次尝试,终于可以使这三个安全性通用启动器正常工作,使用2级PEP代理对Orion Context Broker NGSI API的请求进行身份验证和授权。
但是,授权级别2不足以确保我想要什么,因为服务(租户)和子服务(应用程序路径)信息位于请求的标头中。 特别是在Fiware-Service和Fiware-ServicePath标头中。 为了构建基于标头的授权策略,您需要使用3级 :XACML授权。
问题是,我在Fiware的官方文档中进行了一些挖掘,但找不到XACML策略的任何示例。 除了Wilma PEP Proxy的官方文档(请参阅此处 )之外,您可能还必须修改PEP Proxy源代码才能获得此级别的授权。
由于这种情况被认为是检查请求的高级参数,例如正文或自定义标头,因此它取决于特定的用例。 因此,程序员应修改PEP代理源代码以包括特定要求。
有可能吗?
我是否真的必须修改PEP代理源代码以实现像租户只能访问其数据那样简单的事情?
1 个解决方案
解决方案1
1 已采纳 2017-06-30 16:44:59
很好的问题。 有其他GEis可以完美支持您所指的用例。 请检查此演示文稿
https://es.slideshare.net/FI-WARE/building-your-own-iot-platform-using-fiware-geis
谢谢,最好
如何使用 IIdentityServerBuilder's.AddApiAuthorization() 使用 NSwag API 配置 Identity Server?
[英]How to configure Identity Server with NSwag API using IIdentityServerBuilder's .AddApiAuthorization()?
如何为已安装的应用程序授权google api访问(不使用localhost)
[英]How to authorize google api access for installed applications (not using localhost)
使用MEAN堆栈进行编辑/更新API端点的访问控制/授权
[英]Access-Control/Authorization for Edit/Update API endpoints with MEAN stack
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
角色在Keyrock中如何工作?
如何使用 IIdentityServerBuilder's.AddApiAuthorization() 使用 NSwag API 配置 Identity Server?
在 API Gateway 中控制调用 Rest API 的访问权限
REST API(CXF)中的访问控制
XACML PEP如何与上下文交互?
如何使用 Web API 节点获取 Spotify 访问令牌
使用 CASL 定义访问控制规则
如何为已安装的应用程序授权google api访问(不使用localhost)
如何使用 Cognito 拒绝访问 API 网关上的端点
使用MEAN堆栈进行编辑/更新API端点的访问控制/授权
相关标签