角色如何在Keyrock工作?

时间:2017-03-29 20:06:38

标签: authorization roles fiware keystone role-base-authorization

我想知道基于角色的授权在FIWARE Keyrock中是如何运作的。我测试了用户A在Keyrock中注册应用程序appA的场景。不在应用程序appA的授权列表中的用户B可以请求另一个应用程序(例如appB)的令牌,并使用从appB获得的令牌成功访问appA。

执行的另一项测试是将用户A包含在appA的授权列表中,但是具有没有权限的角色。同样,用户A可以使用其他应用程序的凭据访问appA。

任何人都能解释一下这项工作是如何运作的吗?

1 个答案:

答案 0 :(得分:0)

正如@Álvaro在评论中所说,我们可以在this video看到此配置的示例。

当我看到此视频时,我之前忽略了Keyrock许可配置的确切部分,因为这不符合我的兴趣。现在,我对这个功能很感兴趣,我忘记了这个视频提供了这样的信息。

此外,下面我把我必须做的事情用于工作:

安装AZF:

配置Wilma PEP(config.js文件):

config.azf = {
        enabled: true,
        protocol: 'http',
        host: '10.30.0.21', //this is your authzforce ip
        port: 8080, //6019,
        custom_policy: undefined // use undefined to default policy checks (HTTP verb + path).
};

配置Keyrock(local_settings.py文件,位于/horizon/openstack_dashboard/local/local_settings.py

ACCESS_CONTROL_URL = 'http://10.30.0.21:8080'
ACCESS_CONTROL_MAGIC_KEY = None # If you have problems, put something instead of None. Currently there is a reported bug related to this.

请记住重新启动服务。为了让这些工作正常,您需要为要保护/访问的应用程序的正确端点创建特定权限。一旦创建,Wilma PEP代理将咨询AZF。

我希望它有所帮助。