WSO2 IS和WSO2 APIM - 角色更改

时间:2017-09-15 15:44:34

标签: wso2is wso2apicloud

我按照以下WSO2文档中提到的步骤使用WSO2 IS作为具有WSO2 APIM的身份服务器。

我使用WSO2 IS 5.3.0和WSO2 APIM 2.1.0。

https://docs.wso2.com/display/AM210/Configuring+WSO2+Identity+Server+as+a+Key+Manager

我可以访问WSO2 IS和WSO2 APIM中的碳管理控制台(在两个端口中)

https://localhost:9443/carbon/admin/login.jsp https://localhost:9444/carbon/admin/login.jsp

  1. 当我使用WSO2 IS控制台(9443)更改用户角色时,大多数时候使用相同的访问令牌立即反映它。怎么可能? WSO2提供了一些访问令牌,其中包含一些预配置的范围。在同一登录会话中,即使在访问令牌到期之前,如果我们更改登录用户的角色,则会立即应用角色更改并更改我的访问权限?它有效吗?

    2. 假设用户" USER1"获得具有特权的访问令牌,他/她能够访问特权API。突然间,如果角色发生变化,用户" USER1"被分配了普通用户权限,并且用户无法访问同一登录会话中的特权API。这是OAuth的工作方式吗?

    请帮助我理解。

    1. 如果我更改了WSO2 APIM(9444)中的角色,则不会立即反映角色。有时,它会等待访问令牌过期并获取新的访问令牌。有时,即使在访问令牌过期之前,也会应用角色更改。

      2. WSO2 IS与WSO2 APIM之间的同步间隔是多少,同步角色?

      我无法在mysql db或ldap中找到这些角色。它们存储在后端的哪个位置?

1 个答案:

答案 0 :(得分:0)

IS作为密钥管理器和API Manager的内置密钥管理器存在差异。 API管理器附带的密钥管理器不是一个完整的身份解决方案。因此,它在范围映射,访问控制等方面的作用在身份管理方面的观点上有所限制。 充当密钥管理器的身份服务器提供完整的访问控制机制,因此角色的更改应尽可能快地影响,即使对于问题密钥也是如此。这是使用IS作为密钥管理器的原因之一。

  1. 问题1

    2. 答: 让我们说用户在获得访问令牌时拥有管理员权限。企业可能会决定用户不再需要此权限并在其LDAP上进行更改。它应该尽快反映在密钥验证上。否则,用户继续以特权用户的身份访问该服务,直到密钥到期为止,这是不希望的。所以行为是有效的。

    1. 问题2

      2. Ans:是的,API Manager在管理API方面非常强大。但是,它不是一个使用/角色管理系统。因此,反映角色变化将会有相当大的延迟。因此,当您的API Manager配置了IS时,请确保使用IS来管理用户/角色等。

      • 您配置的角色在哪里

      如果JDBC用户存储是您的主用户存储,则应该在WSO2UM_DB配置(UM_ROLE表)中。

相关问题
最新问题