WSO2 IS和WSO2 APIM - 角色更改

Question

我按照以下WSO2文檔中提及的步驟將WSO2 IS用作WSO2 APIM的標識服務器。

我使用WSO2 IS 5.3.0和WSO2 APIM 2.1.0。

https://docs.wso2.com/display/AM210/Configuring+WSO2+Identity+Server+as+a+Key+Manager

我能夠進入碳管理控制檯中均WSO2 IS和WSO2 APIM（在兩個端口）

https://localhost:9443/carbon/admin/login.jsp https://localhost:9444/carbon/admin/login.jsp

1. 當我使用WSO2 IS控制檯（9443）使用相同的訪問令牌更改用戶角色，大部分時間是立即反映出來的。怎麼可能？訪問令牌由WSO2提供，並帶有一些預先配置的範圍。在相同的登錄會話中，甚至在訪問令牌到期之前，如果我們更改登錄用戶的角色，角色更改會立即應用，並且我的訪問權限會更改？這是有效的嗎？

假定用戶「USER1」獲得具有特權的訪問令牌並且他/她能夠訪問特權API。突然間，如果角色發生變化，用戶「USER1」被賦予普通用戶權限，並且用戶無法在同一登錄會話中訪問特權API。這是OAuth如何工作？

請幫我理解。

1. 如果我更改了WSO2 APIM（9444）中的角色，角色沒有立即得到反映。有時，它會等待訪問令牌過期並獲取新的訪問令牌。有時，即使在訪問令牌過期之前，角色更改也會得到應用。

什麼是WSO2 IS和WSO2 APIM之間的同步間隔，以同步角色？

我在mysql db或ldap中找不到這些角色。他們在哪裏存儲在後端？

Answer 1

IS作爲密鑰管理器和API Manager的內置密鑰管理器存在差異。 API Manager的密鑰管理器不是完整的身份識別解決方案。因此，它在範圍映射，訪問控制等方面的作用在身份管理方面有所限制。 作爲密鑰管理器的身份服務器提供完整的訪問控制機制，因此即使對於問題密鑰，角色中的更改也應該儘可能快地發揮作用。這是將IS用作密鑰管理器的原因之一。

1. 問題1

答： 比方說，用戶必須當他訪問令牌的管理權。企業可能會決定用戶不再需要此權限並更改其LDAP。它應儘可能快地反映在關鍵驗證中。否則，用戶繼續以特權用戶的身份訪問服務，直到密鑰過期爲止，這是不可取的。所以這種行爲是有效的。

問題2

答：是的，API管理器是關於管理的API強。但是，它不是一個使用/角色管理系統。因此，反映角色變化將會有相當大的延遲。因此，當您的API Manager配置了IS時，請確保使用IS來管理用戶/角色等。

• 哪裏是你的配置角色

應該在配置WSO2UM_DB（UM_ROLE表），如果JDBC用戶存儲是您的主要UserStore。