PDP访问权限限制

Question

我使用的是WSO2标识服务器4.6.0版本。

我试图理解如何部署WSO2是一种正确的方法，以便PEP将请求发送到PDP，而不授予经过身份验证的用户太多的WSO2权限。

实际上，我注意到在下面的线程的帮助下，必须将"Manage“权限设置为用户，以便它能够调用PDP：

设置权限以启用对XACML PDP的访问

我试图删除父权限“管理”的一些子权限，但是每次对PDP的调用都返回一个“拒绝访问”。

我的问题：

权限“管理”赋予用户过多的访问权限，只需调用PDP即可。

我的问题：

有办法避免这个问题吗？

Answer 1

是的..我也同意你..。但是要更改此权限，您可能需要修改WSO2IS的jar文件。因为它已经定义在jar文件的service.xml文件中，该jar文件公开了这个EntitlementService。请查一下这里。但是，我们可以通过修改这个值来配置新的权限，比如说./permission/admin/manage/add/service将配置。

如何修改jar文件。

1. 找到应享权利jar文件并打开它。

文件辊wso2is-4.5.0/repository/components/plugins/org.wso2.carbon.identity.entitlement_4.2.0.jar

1. 在service.xml中找到META-INF文件并打开它。
2. 然后在EntitlementService配置下修改值。
3. 重新启动服务器。

例如，您可以修改任何预定义值的权限。此外，还可以通过从注册表浏览器添加新资源来向上述权限树添加新权限。如果使用注册表浏览器浏览到/_system/governance/permission/admin/manage，则可以使用name属性定义新集合。然后它将显示在许可树中。我想这会对你有帮助。