我正在尝试将wso2 am(商店和发布商组件)与外部IdP集成以启用SSO。 所以,我正在使用WSO2 IS作为它的桥梁。 文档说我们应该共享WSO2 AM和IS用户存储(我知道商店或发布者需要一些特定的角色来访问),但这对于共享用户数据存储是没有意义的,如果这是为什么不是为了使用集中和处理身份验证的外部IS。 我们可以通过SAML响应传递商店和发布商所需的角色吗?
答案 0 :(得分:0)
如前所述,您需要在API Manager和IS之间共享用户存储,以便在APIM端提供用户。如[1]中所述,您需要这样做,目的是根据在重定向的IS页面中输入的登录凭据对用户进行身份验证,并根据系统的角色和权限对用户进行身份验证。
如果无法与外部IDP或WSO2 IS共享用户存储,则需要通过编写自定义扩展在APIM端进行JIT设置。您应该通过SAML响应发送角色。此扩展名应读取SAML响应,并使用SAML响应中发送的角色在APIM用户存储中创建/更新用户。您可以在IS中添加角色映射,也可以将SAML响应中出现的角色通过自定义扩展本身映射到现有APIM角色,方法是将这些角色映射保留在一个单独的属性文件中。希望这能回答您的问题!
[1] https://docs.wso2.com/display/AM2xx/Configuring+External+IDP+through+Identity+Server+for+SSO