wso2 - WSO2 IS中用于访问控制的动态资源支持

我是WSO2 IS的新手，正在为我们的访问管理（AM）用例进行评估。如果有人可以帮助回答我，我有两个问题：

WSO2 IS支持动态资源吗？例如。可以说我想做一个文件系统的AM，我想为每个文件/文件夹路径创建XACML访问控制策略。我想避免为每个文件创建资源，因为其他服务/脚本/程序可以在FS中动态创建文件。但是，我应该能够定义文件访问策略，而无需将每个文件都创建为资源。 WSO2 IS可行吗，我该怎么做？
WSO2 IS是否充当应用程序的LDAP服务器？例如，我有一个用例，其中我想使用某些外部IdP（例如Facebook）对用户进行身份验证。我知道我可以在这里使用WSO2 IS联合身份验证器。但是，我的某些服务仅适用于LDAP协议。那么是否可以使用OAuth2 / SAML / OIDC协议集成外部IdP，但可以为服务提供LDAP查询支持？
我正在寻找的另一个功能是检索外部IdP令牌的机制。例如，在Azure Cloud中，我可以使用WSO2 IS和联合身份验证器对Azure AD进行身份验证。但是，如果我想从我的服务访问其他云服务（例如ADLS），则也将需要Azure AD令牌。有没有可以用来获取外部IdP令牌的API。
最后一件事。我找不到任何有关导出WSO2 IS中定义的XACML策略的功能的文档。我看到有有关导入（https://docs.wso2.com/display/IS450/Importing+an+XACML+Policy）的文档。有人可以提供有关如何使用WSO2 IS导出政策的信息吗？

1）您可以为不可用/您希望限制的资源创建XACML策略。此外，您还可以在xacml策略中使用通配符资源位置。策略不能动态更新。

2）我们不是LDAP服务器，但是我们可以插入LDAP。然后，所有添加用户，添加组服务都在此LDAP之上进行。因此，如果您使用SAML连接到联合IDP，则可以使用联合用户登录，并将该用户详细信息配置到此LDAP。然后，您可以将此用户详细信息用于IS和应用程序的其他功能。

3）我们没有OOTB API来获取federatedIDP令牌。作为身份服务器，我们从联合IDP中获取访问令牌和idetoken，并获取用户详细信息并将该用户提供给IS。通过自定义联合身份验证器，我们可以实现这一目标。

完成该任务

我们最近发布了IS 5.8.0，该版本已大大改进并具有更好的性能。