使用WSO2 API Manager在WSO2 Identity Server中的策略权利XACML

时间:2017-09-26 15:29:16

标签: wso2 wso2is wso2-am

我有一个要求,即我已将WSO2身份服务器(5.3)内部LDAP与WSO2 API Manager(2.1)集成。

我通过取消注释以下代码,在wso2-api-2.1 \ repository \ conf \ user-mgt.xml中取消注释LDAP配置来完成更改。

<UserStoreManager class="org.wso2.carbon.user.core.ldap.ReadWriteLDAPUserStoreManager">
and commented the below.
<UserStoreManager class="org.wso2.carbon.user.core.jdbc.JDBCUserStoreManager">

我遵循WSO2文档中提到的使用XACML进行基于角色的访问控制的所有步骤,如下所示。 https://docs.wso2.com/display/AM210/Enabling+Role-Based+Access+Control+Using+XACML

我创建了一个角色&#39; schooladmin&#39;和用户&#39; testuser&#39;我指定了角色&#39; schooladmin&#39;到了'testuser&#39;在Identity Server中以及授予的所有权限。

我能够在WSO2身份存储中测试PDP,并且工作正常。

的问题:

  1. 由于Identity Server和AP​​I Manager通过LDAP连接,我无法在API Manager中看到Identity Server中开发的PDP。这是正确的行为吗?

  2. 我创建并部署了一个REST API基础的业务服务,并在配置期间添加了Entitlement,如WSO2文档中所述。

                <sequence xmlns="http://ws.apache.org/ns/synapse"  name="newEntitlementMediator"> 
                <entitlementService xmlns="http://ws.apache.org/ns/synapse" remoteServiceUrl="https://localhost:9443/services" remoteServiceUserName="admin" remoteServicePassword="admin" 
                callbackClass="org.wso2.sample.handlers.entitlement.APIEntitlementCallbackHandler"/>
                </sequence>

    3. 当我在Postman中尝试新开发的REST API时,我总是得到以下错误。

    <am:fault xmlns:am="http://wso2.org/apimanager">
    <am:code>0</am:code>
    <am:type>Status report</am:type>
    <am:message>Runtime Error</am:message>
    <am:description>User is not authorized to perform the action</am:description>
</am:fault>

    为了进行测试,我正在使用正确的用户&#39; testuser&#39;创建新令牌。使用以下提供的服务 - https://localhost:8244/token

    请建议是否有任何限制或我错过了任何配置。

    我正在添加在WSO2 IS服务器中创建的用于授权的策略。 请查看。

    <Policy xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" PolicyId="iib_policy_entitlement" RuleCombiningAlgId="urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-unless-permit" Version="1.0">
   <Target/>
   <Rule Effect="Permit" RuleId="iib_test_rule">
      <Target>
         <AnyOf>
            <AllOf>
               <Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
                  <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">/login/v1</AttributeValue>
                  <AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"/>
               </Match>
               <Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
                  <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">POST</AttributeValue>
                  <AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"/>
               </Match>
            </AllOf>
         </AnyOf>
      </Target>
      <Condition>
         <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-at-least-one-member-of">
            <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-bag">
               <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">iib_role</AttributeValue>
            </Apply>
            <AttributeDesignator AttributeId="http://wso2.org/claims/role" Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true"/>
         </Apply>
      </Condition>
   </Rule>
</Policy>

    谢谢, 阿布舍克巴克

1 个答案:

答案 0 :(得分:0)

问题1的答案:是的,LDAP仅用作用户存储。元数据存储在单独的数据库中。如果您还需要共享元数据,那么您也共享元数据DB。请更改/repository/conf/datasourses/master-datasourses.xml。

回答问题2:不能直接回答这个问题,但我可以给你几点检查。

  • 检查您是否可以从API管理器端看到创建的用户和角色。
  • 您是否希望IS充当APIM的关键经理?如果是这样,请查看此文档。 IS as a Key Manager
相关问题
最新问题