我一直在争论一个问题,我无法让我们的应用程序与辅助用户存储(AD)一起工作而不指定域名 . AD用户/角色枚举工作正常,我能够通过AD组登录到具有AD帐户(仅用户名!)的WSO2管理控制台,因此如果可行,那么我认为授权服务会太...
我已经确定了这个原因,虽然我只能使用AD用户名登录应用程序(和WSO2管理控制台),但除非我使用该帐户指定域名(域名/域名),否则应用程序不会选择角色分配用户),使用PEP /搜索工具确认 . 如果我在PEP搜索中使用域/用户,我可以看到权利..如果我只使用用户名,我不会 . 我的XACML被定义为使用域/组作为角色 . 值得注意的是,如果我使用内部用户和适用的XACML策略的内部角色,应用程序将完美无缺 .
这看起来与4.2.0(https://wso2.org/jira/browse/CARBON-14861)的错误相同,但我找不到类似的4.5.0 . 有没有人知道如何解决这个问题,而不是让我的LDAP用户存储主要?
TIA!
1 回答
想法是,当您使用具有Identity Server多个用户存储功能的XACML时,您需要使用域名发送用户名 . 因此,在搜索时,必须将用户名设置为
domain/user我认为这很好,因为授权发生在身份验证之后 . 在以某种方式进行身份验证时,可以知道用户的域名(用户存储哪个用户已经过身份验证) .
已经提到的问题是一个单独的问题 .