我正在调查使用WSO2 API Manager 1.0创建一个在我公司内部使用的API Store的可能性;而我正在试图弄清楚它是否符合所有要求 .
特别是我想了解是否可以使用基于XACML策略的API访问权利机制:我发现了一些文章,描述了如何使用WSO2 ESB和WSO2 IS实现“XACML细粒度授权” .
所以我的问题是,是否有可能(以及如何)配置WSO2 API Manager以使用XACML策略强制执行API访问,或者替代地,如何将其配置为使用WSO2 IS作为授权服务(如API Manager似乎几乎基于ESB) .
谢谢!
1 回答
无法将WSO2 API Manager配置为XACML引擎,但您当然可以将其配置为与WSO2 Identity Server(IS)通信的 Policy Enforcement Point (PEP) ,它将充当 Policy Decision Point ( PDP / XACML引擎)并检索授权决定 .
正如您所指出的,WSO2 API Manager网关基于WSO2企业服务总线(ESB) . 在ESB中,通过向 inSequence 添加 Entitlement Mediator 来实现策略实施(正如您在上述文章中所遇到的那样) . 在API Manager中执行策略实施的方式或多或少相同 .
但是目前没有UI支持在WSO2 API Manager中为调序添加调解器 . 因此,您必须使用WSO2 API Manager管理控制台UI中的 source view 编辑配置文件 . 更简单的方法是首先尝试使用WSO2 ESB中的管理控制台UI添加权利中介,然后将相关配置从其源视图复制粘贴到WSO2 API管理器中的 api 元素inSequence中 .
还有一个名为 api handlers 的概念,可以在API级别使用 . 如果您认为默认权利中介者不足够/不适合您的要求,这可能对您有用 . 这种方法的优点在于,您可以灵活地使用任何逻辑编写自定义PEP并将其放入请求流程中,但另一方面,您需要编写自己的代码 .