基本拓扑结构如下:WSO2 IS作为我的服务提供商并通过XACML处理授权,我们现有的内部IdP负责公司身份验证(SAML,Oauth2) .
我想获得有关如何使用WSO2 IS作为SAML协议代理配置出站联合的最佳实践指南 . 通过创建所谓的“租户”来分离用户ID域是否正确,以便通过传出STS连接将SAML请求路由到外部主IdP?这是在身份提供商下配置的 - 添加身份提供商 - 联合身份验证者 - WS联合身份验证被动配置?
域名和租户?作为一个例子,我想配置这样的帐户 . ID = falb@red.com,联合查找将我的请求转发给负责域“@ red.com”的IdP . 是否有任何可用于识别“red.com”域的发现或智能路由机制,而无需创建租户?
XACML Access?
在更高级的场景中,一旦我们在WSO2服务器和外部IDP之间 Build 了联合,服务提供者即Web应用程序服务器就能够通过附加SAML令牌来调度PEP请求,而无需使用前面的权利例程,例如通过登录名和密码 . 是否存在在PDP端接受SAML令牌并通过SSO联合机制验证它的权利例程?
在此先感谢您的指导 . 关心克劳德