我正在评估WSO2 Identity Server和WSO2 API Manager .
我在API Manager上注册了API和应用程序 . 我可以成功调用资源 .
我还可以将用户添加到Identity Server并使用oAuth身份验证登录 .
但是,我不清楚如何将这两个系统结合使用 . 我想使用API Manager将我的API暴露给某些应用程序 . 而且,我想使用Identity Server来记录最终用户 . 那可能吗?如何“插入”这两个系统?
我不确定这是否是最好的方式,所以,请给我建议 .
谢谢
3 回答
根据我对您的用例的理解,您需要安全地公开API . 因此,您需要使用WSO2 Identity Server和WSO2 API Manger . 除此之外,您还需要针对上述用例的最佳方法 . 有了以上两种产品,我们有两种选择 .
在这里,我们需要为WSO2 IS添加密钥管理器功能 .
在这里,第一个选项有手动配置 . 但是,第二个选项最小化了手动配置 .
使用Identity Server的目的不是很清楚 . 是否将身份验证/授权与API Manager实例分开?
默认情况下,API Manager附带一个密钥管理服务器组件,该组件负责所有安全性和密钥相关操作 . 可以将其配置为针对定义的用户存储或多个用户存储对用户进行身份验证 . 授权基于oAuth 2.0 . 但是,在 生产环境 部署中,我们建议将此组件部署为单独的服务器实例,以便它作为外部密钥管理服务器运行 .
只需使用API Manager分发的另一个副本并将其配置为密钥管理器服务器节点即可完成此操作 .
希望这可以帮助 .
问候,吉莉安
我的理解是,
如果您想使用WSO2 API管理器(AM)作为API网关,则不需要单独的IS,因为AM包含了包含安全机制的IS引擎,例如密钥管理器 .
如果您需要在所有AM组件上进行单点登录,并且您没有其他身份提供商(IdP),则需要一个不同的IS
但是,如果您有单独的IdP,则无需安装IS服务器即可为AM实施SSO,尽管IS的文档可能会建议您这样做 . 例如,使用PingFederate / PingIdentity已成功完成SSO实施 . 见How to integrate WSO2 API Manager (AM) 1.10.0 with PingFederate SAML 2.0?