1. Zuhause
  2. Frage und Antwort
  3. wso2 Identity Server - ACL basierend auf der Rolle zur Verwaltung des Benutzerzugriffs auf Webapps

wso2 Identity Server - ACL basierend auf der Rolle zur Verwaltung des Benutzerzugriffs auf Webapps

2016-04-14 5 views
1

Ich teste gerade den Wso2 Identity Server. Ich habe eine zweite Frage.wso2 Identity Server - ACL basierend auf der Rolle zur Verwaltung des Benutzerzugriffs auf Webapps

Nun, ich habe eine App mit SAML-Authentifizierung konfiguriert: Kann ich den Zugriff Benutzer basierend auf Rolle verwalten?

Ich habe im Manager nicht gesehen, wie man den Zugang zu einigen Webapps basierend auf der Rolle beschränkt. jeder Benutzer

In meinem Setup in einem Geschäft erklärte die Anwendung verbinden kann ...

Nun, ich versuche, einige XACML zu tun ... aber ohne Erfolg (mehr über meine Webapp nicht XACML-Protokoll unterstützen, so muss der wso2is den Benutzer bei der Login-Zeit blockieren).

Ich habe versucht, XACML ohne Erfolg zu konfigurieren ...

Quelle

2016-04-14 BenoitG

Antwort

2

Einfache Antwort - Nein

Längere Antwort - WSO2 IST die Authentifizierung, aber keine Genehmigung (für den Web-Benutzer). Effektiv - Sie können den Benutzerzugriff während der Authentifizierung nicht auf den spezifischen SP beschränken. Wie man es bewältigt - wir übergeben die Benutzerrollen (Gruppen) als einen Anspruch an den Dienstanbieter (Anwendung) und der Dienstanbieter muss die richtige Autorisierung basierend auf den Rollen vornehmen.

XACML ist ein Weg, wie eine externe Anwendung die Autorisierungsentscheidungen treffen kann. Die Anwendung ruft einen Webdienst (EntitlementService) mit Betreff (Benutzer), Ressource (Dienst) und Aktion auf (+ der Client kann zusätzliche Informationen mit der Anfrage bereitstellen) und die Berechtigungssteuerkomponente wertet die XACML-Richtlinien (Regeln) aus und antwortet mit Erlaubnis, Verweigern oder es ist mir egal.

Quelle

2016-04-14 12:58:30 gusto2

+0

Vielen Dank Ihre Antwort. Nun, wenn ich verstehe, muss die Webapp dahinter "über" Rollen, Benutzer und Rollen/Benutzer Mapping "bewusst sein. Ich werde ein bisschen mehr über all das denken. und perphas zurück zu meiner ersten idee: ein ldap manager + lemonldap. (Darüber hinaus, wenn IS mehrere Backend und mehrere Attribute für ein eindeutiges Konto nicht synchronisieren kann) – BenoitG

+1

Das WSO2 IS kann Subjektattribute von mehreren Userstores (mit sekundären Userstores und Claimanpassung) einschließlich ihrer Gruppenmitgliedschaft abrufen. Es macht einfach keine Berechtigung. Wenn die Autorisierung erforderlich war, haben wir das simpleSamlPHP-Projekt verwendet (in dem Sie Autorisierungsbedingungen angeben können). – gusto2

+0

Über Autorisierung dachte ich über die Verwendung von lemon :: ldap ng als Portail und einen Reverse-Proxy mit grundlegenden Zugriffskontrolle (auch bekannt als Ja oder Nein). – BenoitG

Verwandte Themen

 Verwandte Themen