WSO2 IS и WSO2 APIM - изменение роли
Я выполнил шаги, упомянутые в приведенной ниже документации WSO2, чтобы использовать WSO2 IS в качестве Identity Server с WSO2 APIM.
Я использую WSO2 IS 5.3.0 и WSO2 APIM 2.1.0.
https://docs.wso2.com/display/AM210/Configuring+WSO2+Identity+Server+as+a+Key+Manager
Я могу получить доступ к консоли администратора углерода в WSO2 IS и WSO2 APIM (в двух портах)
https://localhost:9443/carbon/admin/login.jsp https://localhost:9444/carbon/admin/login.jsp
- Когда я использую консоль WSO2 IS (9443) для изменения ролей пользователей, в большинстве случаев это отражается сразу, используя один и тот же токен доступа. Как это может быть возможно? Маркер доступа предоставляется WSO2 с некоторыми предварительно настроенными областями. В том же сеансе входа в систему, даже до истечения срока действия токена доступа, если мы изменим роли вошедшего в систему пользователя, изменения ролей будут применены немедленно, и мои права доступа будут изменены? Это действительно?
Предположим, что пользователь "USER1" получил токен доступа с привилегированными правами, и он / она может получить доступ к привилегированным API. Внезапно, если роли изменяются, и пользователю "USER1" назначаются обычные права пользователя, и пользователь не может получить доступ к привилегированным API в рамках одного сеанса входа в систему. Так работает OAuth?
Пожалуйста, помогите мне понять.
- Если я изменю роли в APO WSO2 (9444), роли не будут отражены немедленно. Иногда он ожидает истечения срока действия токена доступа и получает новый токен доступа. Иногда изменения ролей применяются даже до истечения срока действия маркера доступа.
Какой интервал синхронизации между WSO2 IS и WSO2 APIM для синхронизации ролей?
Я не мог найти эти роли в MySQL DB или LDAP. Где они хранятся в бэкэнде?
1 ответ
Существуют различия в IS в качестве менеджера ключей и встроенного менеджера ключей API Manager. Менеджер ключей поставляется вместе с API Manager и не является полноценным решением для идентификации. Следовательно, его роль в отображении области действия, управлении доступом и т. Д. Несколько ограничена с точки зрения аспектов управления идентификацией. Идентификационный сервер, выступающий в роли диспетчера ключей, обеспечивает механизм контроля полного доступа, поэтому изменение роли должно повлиять как можно быстрее, даже для проблемных ключей. Это одна из причин использования IS в качестве менеджера ключей.
- Вопрос 1
Ответ: Допустим, у пользователя есть права администратора, когда он получил токен доступа. Предприятие может решить, что пользователь больше не нуждается в этом праве и изменяет его в своем LDAP. Это должно быть отражено на валидации ключа как можно быстрее. В противном случае пользователь продолжает доступ к службе в качестве привилегированного пользователя до истечения срока действия ключа, что нежелательно. Таким образом, поведение является действительным.
- вопрос 2
Ответ: Да, API Manager хорош в управлении API. Однако это не система управления использованием / ролью. Следовательно, будет значительная задержка в отражении изменения роли. Итак, убедитесь, что вы используете IS для управления пользователем / ролями и т. Д., Когда ваш API Manager настроен с IS.
- Где ваши настроенные роли
Он должен быть настроен в WSO2UM_DB (таблица UM_ROLE), если хранилище пользователей JDBC является вашим основным хранилищем пользователей.