我目前正在测试wso2身份服务器。我有第二个问题。
我有一个配置了SAML身份验证的应用:我可以根据角色管理访问用户吗?
我没有在经理中看到如何根据角色限制对某些网络应用的访问。
在我的设置中,商店中声明的每个用户都可以连接到应用程序......
好吧,我尝试做一些xacml ......但没有成功(超过我的webapp并不支持xacml协议,所以wso2必须在登录时阻止用户。)
我试图配置xacml但没有成功......
答案 0 :(得分:2)
简单回答 - 不。
更长的答案 - WSO2 IS进行身份验证,但不授权(对于Web用户)。实际上 - 您无法在身份验证期间限制用户对特定SP的访问权限。如何克服它 - 我们将用户角色(组)作为对服务提供者(应用程序)的声明传递,并且服务提供者需要根据角色进行适当的授权。
XACML与外部应用程序如何执行授权决策的方式相同。应用程序调用带有主题(用户),资源(服务)和操作的Web服务(EntitlementService)(+客户端可以提供有关请求的附加信息),权利引擎评估XACML策略(规则)并以Permit,Deny响应或者我不在乎。