基本拓扑结构如下: WSO2是我的服务提供商,通过XACML负责授权,我们现有的内部IdP负责企业身份验证(SAML,Oauth2)。
我希望收到有关如何使用WSO2 IS作为SAML协议代理配置出站联合的最佳实践指南。通过创建所谓的“租户”来分离用户ID域是否正确,以便通过传出STS连接将SAML请求路由到外部主IdP?这是在身份提供商下配置的 - 添加身份提供商 - 联合身份验证者 - WS联合身份验证被动配置?
域名和租户? 作为一个例子,我想配置这样的帐户。 ID = falb@red.com,联合查找将我的请求转发给负责域“@ red.com”的IdP。是否有任何可用于识别“red.com”域的发现或智能路由机制,而无需创建租户?
XACML Access?
在更高级的场景中,一旦我们在WSO2服务器和外部IDP之间建立了联合,服务提供者即Web应用程序服务器就能够通过附加SAML令牌来调度PEP请求,而无需使用前面的权利例程,例如通过登录名和密码。是否存在在PDP端接受SAML令牌并通过SSO联合机制验证它的权利例程?
提前感谢您的指导。 问候 克劳德