【问题标题】:WSO2 4.5.0 XACML entitlement with role in secondary user storeWSO2 4.5.0 XACML 权利,在辅助用户存储中具有角色
【发布时间】:2014-11-21 13:15:00
【问题描述】:

我一直在解决一个问题,即我无法在不指定域名的情况下让我们的应用程序与辅助用户存储 (AD) 一起使用。 AD 用户/角色枚举工作正常,我可以使用通过 AD 组授予管理员权限的 AD 帐户(仅限用户名!)登录到 WSO2 管理控制台,所以如果可行,那么我认为权利服务会太……

我已经确定原因是虽然我只能使用 AD 用户名登录应用程序(和 WSO2 管理控制台),但除非我使用帐户指定域,否则应用程序不会获取角色分配(域/用户),通过使用 PEP/搜索工具确认。如果我在 PEP 搜索中使用域/用户,我可以看到权利。如果我只使用用户名,我不会。我的 XACML 被定义为使用域/组作为角色。值得注意的是,如果我使用具有内部用户和适用 XACML 策略的内部角色,则应用程序可以完美运行。

这看起来与 4.2.0 (https://wso2.org/jira/browse/CARBON-14861) 的错误相同,但我找不到 4.5.0 的类似错误。除了将我的 LDAP 用户存储设为主要存储之外,还有人知道解决此问题的方法吗?

TIA!

【问题讨论】:

    标签: wso2 wso2is xacml


    【解决方案1】:

    想法是,当您使用带有 Identity Server 的多用户存储功能的 XACML 时,您需要发送带有域名的用户名。所以,在搜索的时候,一定要把用户名设置为domain/user

    我认为这很好,因为授权发生在身份验证之后。在进行身份验证时,不知何故,用户的域名(用户存储了哪个用户已通过身份验证)是可以知道的。

    已经提到的问题是一个单独的问题。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2013-08-07
      • 2021-09-10
      • 1970-01-01
      • 2015-06-17
      相关资源
      最近更新 更多