[英]Policy Entitlement XACML in WSO2 Identity Server with WSO2 API Manager
我在将WSO2身份服务器(5.3)内部LDAP与WSO2 API管理器(2.1)集成的情况下有一个要求。
我已经通过取消注释以下代码来取消注释wso2-api-2.1 \\ repository \\ conf \\ user-mgt.xml中LDAP配置的更改。
<UserStoreManager class="org.wso2.carbon.user.core.ldap.ReadWriteLDAPUserStoreManager">
and commented the below.
<UserStoreManager class="org.wso2.carbon.user.core.jdbc.JDBCUserStoreManager">
我遵循WSO2文档中提到的使用XACML进行基于角色的访问控制的所有步骤,如下所示。 https://docs.wso2.com/display/AM210/Enabling+基于角色的+ Access + Control +使用+ XACML
我创建了一个角色“ schooladmin”和一个用户“ testuser”。 我在身份服务器中将角色“ schooladmin”分配给“ testuser”以及所有授予的权限。
我能够在WSO2身份存储中测试PDP,并且工作正常。
问题:
由于Identity Server和API Manager是通过LDAP连接的,因此我看不到API Manager中可用Identity Server开发的PDP。 这是正确的行为吗?
我创建和部署了基于REST API的业务服务,并在配置过程中添加了权利,如WSO2文档中所述。
<sequence xmlns="http://ws.apache.org/ns/synapse" name="newEntitlementMediator"> <entitlementService xmlns="http://ws.apache.org/ns/synapse" remoteServiceUrl="https://localhost:9443/services" remoteServiceUserName="admin" remoteServicePassword="admin" callbackClass="org.wso2.sample.handlers.entitlement.APIEntitlementCallbackHandler"/> </sequence>
当我尝试使用Postman新开发的REST API时,总是出现以下错误。
<am:fault xmlns:am="http://wso2.org/apimanager">
<am:code>0</am:code>
<am:type>Status report</am:type>
<am:message>Runtime Error</am:message>
<am:description>User is not authorized to perform the action</am:description>
</am:fault>
为了进行测试,我使用提供的以下服务使用正确的用户'testuser'创建了新令牌-https :// localhost:8244 / token
请建议是否有任何限制,或者我错过了任何配置。
我要添加在WSO2 IS服务器中创建的策略以获得权利。 请查阅。
<Policy xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" PolicyId="iib_policy_entitlement" RuleCombiningAlgId="urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-unless-permit" Version="1.0">
<Target/>
<Rule Effect="Permit" RuleId="iib_test_rule">
<Target>
<AnyOf>
<AllOf>
<Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">/login/v1</AttributeValue>
<AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"/>
</Match>
<Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">POST</AttributeValue>
<AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"/>
</Match>
</AllOf>
</AnyOf>
</Target>
<Condition>
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-at-least-one-member-of">
<Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">iib_role</AttributeValue>
</Apply>
<AttributeDesignator AttributeId="http://wso2.org/claims/role" Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"/>
</Apply>
</Condition>
</Rule>
</Policy>
谢谢阿比舍克
问题1的答案:是的,LDAP仅用作用户存储。 元数据存储在单独的数据库中。 如果您还需要共享元数据,那么您也必须共享元数据DB。 请为此更改/repository/conf/datasourses/master-datasourses.xml。
问题2的答案:无法直接回答此问题,但我可以提供一些要检查的要点。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.