我们有一个WSO2AM(2.2.0)设置,其中WSO2IS-KM被用作密钥管理器,并且DMZ中有一个API网关。 API GW正在内部网络上调用KM,以使用WSClient验证访问令牌。
我看到的问题是用于调用密钥验证服务的凭据是管理员凭据。在DMZ受到损害的情况下,如此有效,服务凭证可用于调用KM上的任何管理服务(我认为包括操纵用户存储)。
我们是否可以分配网关客户端有特定的权限,以便网关能够验证访问令牌,但不能调用其他管理服务?
另一个选择是在HTTP代理级别限制从DMZ对KM的访问,仅公开特定的URL(服务)。是否有特定于KeyManager的服务列表?
答案 0 :(得分:0)
以下权限足以调用令牌验证服务
/permission/admin/manage/identity/pep
您可以为此角色创建角色。