我按照以下WSO2文档中提到的步骤使用WSO2 IS作为具有WSO2 APIM的身份服务器。
我使用WSO2 IS 5.3.0和WSO2 APIM 2.1.0。
https://docs.wso2.com/display/AM210/Configuring+WSO2+Identity+Server+as+a+Key+Manager
我可以访问WSO2 IS和WSO2 APIM中的碳管理控制台(在两个端口中)
https://localhost:9443/carbon/admin/login.jsp https://localhost:9444/carbon/admin/login.jsp
假设用户" USER1"获得具有特权的访问令牌,他/她能够访问特权API。突然间,如果角色发生变化,用户" USER1"被分配了普通用户权限,并且用户无法访问同一登录会话中的特权API。这是OAuth的工作方式吗?
请帮助我理解。
WSO2 IS与WSO2 APIM之间的同步间隔是多少,同步角色?
我无法在mysql db或ldap中找到这些角色。它们存储在后端的哪个位置?
答案 0 :(得分:0)
IS作为密钥管理器和API Manager的内置密钥管理器存在差异。 API管理器附带的密钥管理器不是一个完整的身份解决方案。因此,它在范围映射,访问控制等方面的作用在身份管理方面的观点上有所限制。 充当密钥管理器的身份服务器提供完整的访问控制机制,因此角色的更改应尽可能快地影响,即使对于问题密钥也是如此。这是使用IS作为密钥管理器的原因之一。
答: 让我们说用户在获得访问令牌时拥有管理员权限。企业可能会决定用户不再需要此权限并在其LDAP上进行更改。它应该尽快反映在密钥验证上。否则,用户继续以特权用户的身份访问该服务,直到密钥到期为止,这是不希望的。所以行为是有效的。
Ans:是的,API Manager在管理API方面非常强大。但是,它不是一个使用/角色管理系统。因此,反映角色变化将会有相当大的延迟。因此,当您的API Manager配置了IS时,请确保使用IS来管理用户/角色等。
如果JDBC用户存储是您的主用户存储,则应该在WSO2UM_DB配置(UM_ROLE表)中。