我正在尝试将wso2 am(商店和发布商组件)与外部IdP集成以启用SSO . 所以,我正在使用WSO2 IS作为它的桥梁 . 文档说我们应该共享WSO2 AM和IS用户存储(我知道商店或发布者需要一些特定的角色来访问),但这对于共享用户数据存储是没有意义的,如果这是为什么不是为了使用集中和处理身份验证的外部IS . 我们可以通过SAML响应传递商店和发布商所需的角色吗?
如您所述,您需要在API Manager和IS之间共享用户存储,以便在APIM端配置用户 . 如[1]中所述,您需要这样做,以便根据在重定向的IS页面中输入的登录凭据对用户进行身份验证,并根据系统的角色和权限对其进行身份验证 .
如果您无法与外部IDP或WSO2 IS共享用户存储,则需要通过编写自定义扩展来在APIM端进行JIT配置 . 您应该通过SAML响应发送角色 . 此扩展应读取SAML响应,并使用SAML响应中发送的角色在APIM用户存储中创建/更新用户 . 您可以在IS中添加角色映射,也可以通过将这些角色映射保留在sperate属性文件中,通过自定义扩展本身将SAML响应中的角色映射到现有APIM角色 . 希望这能回答你的问题!
[1] https://docs.wso2.com/display/AM2xx/Configuring+External+IDP+through+Identity+Server+for+SSO
1 回答
如您所述,您需要在API Manager和IS之间共享用户存储,以便在APIM端配置用户 . 如[1]中所述,您需要这样做,以便根据在重定向的IS页面中输入的登录凭据对用户进行身份验证,并根据系统的角色和权限对其进行身份验证 .
如果您无法与外部IDP或WSO2 IS共享用户存储,则需要通过编写自定义扩展来在APIM端进行JIT配置 . 您应该通过SAML响应发送角色 . 此扩展应读取SAML响应,并使用SAML响应中发送的角色在APIM用户存储中创建/更新用户 . 您可以在IS中添加角色映射,也可以通过将这些角色映射保留在sperate属性文件中,通过自定义扩展本身将SAML响应中的角色映射到现有APIM角色 . 希望这能回答你的问题!
[1] https://docs.wso2.com/display/AM2xx/Configuring+External+IDP+through+Identity+Server+for+SSO