我想请求有关 WSO2 身份服务器中的配置选项的建议,以调整公司 LDAP 目录的布局并将其重新用作 IdP 中的次要只读用户存储。是否有可用的映射功能将 WSO2 字段术语与公司目录的上下文相关联,映射强制性的 WSO2 身份字段,如 [名字、姓氏、地址、电话号码等]?
这个问题是对我之前关于访问锁定的问题的补充。
WSO2 Admin Secondary User Store - Delete Icon is not Working
提前感谢您就如何集成外部 LDAP 存储库提供建议。
【问题讨论】:
您可以在 WSO2 身份服务器中使用声明管理。在 Identity Server 中,每个用户存储属性都可以映射为声明。因此,您可以使用 Identity Server 中可用的声明管理功能,并将您的 LDAP/AD/JDBC 用户存储属性与 Identity Server 定义的声明 URI 正确映射。您还可以添加不同的声明 URI 并使用声明管理对其进行管理。
请参考以下链接了解如何进行用户属性映射。
https://docs.wso2.com/display/IS500/Managing+User+Attributes
https://docs.wso2.com/display/IS500/Adding+New+Claim+mapping
您可以将公司 LDAP 目录添加为辅助用户存储。
您可以按照以下步骤手动或使用管理控制台配置二级用户存储:
如下所示配置 [IS_HOME]\repository\conf\user-mgt.xml 文件。
使用管理控制台:
登录管理控制台,点击配置菜单下的用户存储管理子菜单。
列表项
用户存储管理页面打开
单击添加次要用户存储。
在“用户存储管理器类”列表中,选择您正在创建的用户存储类型(在这里,您可以通过将自定义用户存储管理器实现添加到服务器来填充此下拉列表。)
输入不带下划线 (_) 字符的唯一域名,并可选择输入此用户存储的说明。
使用说明列中的说明输入属性值作为指导。显示的属性因您选择的用户存储管理器类而异,并且屏幕底部的可选或高级部分中可能还有其他属性。
确保填写了所有必填字段并提供了有效的域名,然后单击添加。
将出现一条消息,指出正在添加用户存储。 (该消息并不意味着用户存储已成功添加。它只是表示服务器正在尝试将新用户存储添加到可用存储链的末尾。)
几秒钟后刷新页面以检查状态。
如果新的用户存储添加成功,会出现在用户存储管理页面。
添加到服务器后,您可以编辑新的二级用户存储的属性并以动态方式启用/禁用它。
手动使用:
您可以在 [IS_HOME]\repository\conf\ user-mgt.xml 文件中找到主要用户存储配置。当您使用管理控制台创建辅助用户存储时,其配置将保存到与您指定的域名同名的 XML 文件中。或者,您可以手动创建此 XML 文件并将其保存如下:
当您配置多个用户存储时,您必须在<domainname> 元素中为每个用户存储指定一个唯一的域名。如果您在未指定域名的情况下配置用户存储,则服务器在启动时会引发异常。
如果是超级租户的配置,将二级用户存储定义保存在
如果是普通租户,请将配置保存在
一个文件只包含一个用户存储域的定义。
您可以按照以下步骤操作:
【讨论】: