我一直在争论一个问题,我无法在不指定域名的情况下让我们的应用程序与辅助用户存储(AD)一起工作。 AD用户/角色枚举工作正常,我能够通过AD组登录到具有AD帐户(仅用户名!)的WSO2管理控制台,因此如果有效,那么我认为授权服务会太...
我已确定原因是虽然我只能使用AD用户名登录应用程序(和WSO2管理控制台),但除非我使用该帐户指定域,否则应用程序不会选择角色分配(域/用户),使用PEP /搜索工具确认。如果我在PEP搜索中使用域/用户,我可以看到权利..如果我只使用用户名,我不会。我的XACML被定义为使用域/组作为角色。值得注意的是,如果我使用内部用户和适用的XACML策略的内部角色,应用程序将完美无缺。
这看起来与4.2.0(https://wso2.org/jira/browse/CARBON-14861)的错误相同,但我找不到类似的4.5.0。有没有人知道如何解决这个问题,而不是让我的LDAP用户存储主要?
TIA!
答案 0 :(得分:0)
想法是,当您使用具有Identity Server多个用户存储功能的XACML时,您需要使用域名发送用户名。因此,在搜索时,您必须将用户名设置为domain/user
我认为没问题,因为授权发生在身份验证之后。在进行身份验证时,可以知道用户的域名(用户存储哪个用户已经过身份验证)。
已提及的问题是一个单独的问题。