WSO2 IS和WSO2 APIM -角色更改

Question

我按照下面WSO2文档中提到的步骤使用WSO2作为身份服务器使用WSO2 APIM。

我使用WSO2为5.3.0和WSO2 APIM2.1.0。

https://docs.wso2.com/display/AM210/Configuring+WSO2+Identity+Server+as+a+Key+Manager

我能够访问WSO2 IS和WSO2 APIM (在两个端口中)的碳管理控制台。

https://localhost:9443/carbon/admin/login.jsp https://localhost:9444/carbon/admin/login.jsp

1. 当我使用WSO2 IS console (9443)更改用户角色时，大多数情况下它会立即得到反映，使用相同的访问令牌。怎么可能呢？WSO2提供了一个带有预配置范围的访问令牌。在同一登录会话中，即使在访问令牌过期之前，如果我们更改已登录用户的角色，则角色更改将立即应用，而我的访问权限将被更改？有效吗？

假设用户"USER1“获得了具有特权权限的访问令牌，并且他/她能够访问特权API。突然之间，如果角色被更改，用户"USER1“被分配给一个正常的用户权限，并且用户无法访问同一登录会话中的特权API。这就是OAuth的工作方式吗？

请帮我理解一下。

1. 如果我在WSO2 APIM (9444)中更改角色，则角色不会立即得到反映。有时，它会等待访问令牌过期，然后获取一个新的访问令牌。有时，甚至在访问令牌到期之前就会应用角色更改。

WSO2 is和WSO2 APIM之间的同步间隔是什么，以同步角色？

我在mysql、db或ldap中找不到这些角色。它们存放在后端哪里？

Answer 1

作为API管理器的密钥管理器和内置的密钥管理器，IS是有区别的。关键管理器附带的API管理器不是一个成熟的身份解决方案。因此，从身份管理的角度来看，它在范围映射、访问控制等方面的作用是有限的。身份服务器作为密钥管理器提供了完整的访问控制机制，因此角色的更改应尽可能快地影响，甚至对问题密钥也是如此。这是使用is作为关键管理器的原因之一。

1. 问题1

答:假设用户在获得访问令牌时拥有管理权限。企业可能决定用户不再需要此权限，并更改其LDAP上的权限。它应尽可能快地反映在关键验证上。否则，用户将继续以特权用户的身份访问服务，直到密钥过期为止，这是不可取的。所以这种行为是有效的。

1. 问题2

答:是的，API管理器在管理API方面很强。然而，它不是一个使用/角色管理系统。因此，在反映角色变化方面将出现相当大的延误。因此，当您的API管理器配置为IS时，请确保使用IS来管理用户/角色等。

• 您的配置角色在哪里？

如果JDBC存储是您的主要WSO2UM_DB (UM_ROLE表)，那么它应该在(UM_ROLE表)中。