WSO2 IS и WSO2 APIM - изменение роли

Question

WSO2 IS и WSO2 APIM - изменение роли

Я выполнил шаги, упомянутые в приведенной ниже документации WSO2, чтобы использовать WSO2 IS в качестве Identity Server с WSO2 APIM.

Я использую WSO2 IS 5.3.0 и WSO2 APIM 2.1.0.

https://docs.wso2.com/display/AM210/Configuring+WSO2+Identity+Server+as+a+Key+Manager

Я могу получить доступ к консоли администратора углерода в WSO2 IS и WSO2 APIM (в двух портах)

https://localhost:9443/carbon/admin/login.jsp https://localhost:9444/carbon/admin/login.jsp

Когда я использую консоль WSO2 IS (9443) для изменения ролей пользователей, в большинстве случаев это отражается сразу, используя один и тот же токен доступа. Как это может быть возможно? Маркер доступа предоставляется WSO2 с некоторыми предварительно настроенными областями. В том же сеансе входа в систему, даже до истечения срока действия токена доступа, если мы изменим роли вошедшего в систему пользователя, изменения ролей будут применены немедленно, и мои права доступа будут изменены? Это действительно?

Предположим, что пользователь "USER1" получил токен доступа с привилегированными правами, и он / она может получить доступ к привилегированным API. Внезапно, если роли изменяются, и пользователю "USER1" назначаются обычные права пользователя, и пользователь не может получить доступ к привилегированным API в рамках одного сеанса входа в систему. Так работает OAuth?

Пожалуйста, помогите мне понять.

Если я изменю роли в APO WSO2 (9444), роли не будут отражены немедленно. Иногда он ожидает истечения срока действия токена доступа и получает новый токен доступа. Иногда изменения ролей применяются даже до истечения срока действия маркера доступа.

Какой интервал синхронизации между WSO2 IS и WSO2 APIM для синхронизации ролей?

Я не мог найти эти роли в MySQL DB или LDAP. Где они хранятся в бэкэнде?

1

wso2is wso2apicloud

Источник

user4915747 15 сен '17 в 15:44

1 ответ

Другие вопросы по тегам wso2is wso2apicloud

user5761501 16 сен '17 в 05:40 2017-09-16 05:40 · Answer 1 · 2017-09-16 05:40

Существуют различия в IS в качестве менеджера ключей и встроенного менеджера ключей API Manager. Менеджер ключей поставляется вместе с API Manager и не является полноценным решением для идентификации. Следовательно, его роль в отображении области действия, управлении доступом и т. Д. Несколько ограничена с точки зрения аспектов управления идентификацией. Идентификационный сервер, выступающий в роли диспетчера ключей, обеспечивает механизм контроля полного доступа, поэтому изменение роли должно повлиять как можно быстрее, даже для проблемных ключей. Это одна из причин использования IS в качестве менеджера ключей.

Вопрос 1

Ответ: Допустим, у пользователя есть права администратора, когда он получил токен доступа. Предприятие может решить, что пользователь больше не нуждается в этом праве и изменяет его в своем LDAP. Это должно быть отражено на валидации ключа как можно быстрее. В противном случае пользователь продолжает доступ к службе в качестве привилегированного пользователя до истечения срока действия ключа, что нежелательно. Таким образом, поведение является действительным.

вопрос 2

Ответ: Да, API Manager хорош в управлении API. Однако это не система управления использованием / ролью. Следовательно, будет значительная задержка в отражении изменения роли. Итак, убедитесь, что вы используете IS для управления пользователем / ролями и т. Д., Когда ваш API Manager настроен с IS.

Где ваши настроенные роли

Он должен быть настроен в WSO2UM_DB (таблица UM_ROLE), если хранилище пользователей JDBC является вашим основным хранилищем пользователей.