社内で使用する API ストアを作成するために WSO2 API Manager 1.0 を使用する可能性を調査しています。そして、それがすべての要件に適合するかどうかを把握しようとしています。
特に、XACML ポリシーに基づいて API アクセスの資格付与メカニズムを使用できるかどうかを知りたいです。WSO2 ESB と WSO2 IS を使用して「XACML ファイングレイン認証」を実装する方法を説明している記事をいくつか見つけました。
したがって、私の質問は、XACML ポリシーを使用して API アクセスを強制するように WSO2 API Manager を構成することが可能か (およびその方法)、または代わりに、WSO2 IS を資格サービスとして使用するように構成することが可能かどうか (API Manager がほとんどESBに基づいています)。
ありがとうございました!
XACML エンジンとして動作するように WSO2 API Manager を構成することはできませんが、ポリシー決定ポイント( PDP /XACML エンジン) を取得し、承認の決定を取得します。
ご指摘のとおり、WSO2 API Manager ゲートウェイは WSO2 Enterprise Service Bus (ESB) に基づいています。ESB では、 inSequenceにEntitlement Mediatorを追加することでポリシーの適用が実現されます (前述の記事で見たことがあるはずです)。API Manager でポリシーを適用する方法は、ほぼ同じです。
ただし、現在、WSO2 API Manager でメディエーターをシーケンスに追加するための UI サポートはありません。そのため、WSO2 API Manager 管理コンソール UIのソース ビューを使用して構成ファイルを編集する必要があります。これを行う簡単な方法は、最初に WSO2 ESB の管理コンソール UI を使用して資格メディエーターを追加してから、関連する構成をそのソース ビューからWSO2 API マネージャーのAPI要素のinSequenceにコピー アンド ペーストすることです。
API レベルで使用できるAPI ハンドラーと呼ばれる概念もあります。これは、デフォルトのエンタイトルメント メディエーターが要件に対して十分でない/適していないと思われる場合に役立ちます。このアプローチの利点は、任意のロジックを使用してカスタムPEPを記述し、それをリクエスト フローに入れる柔軟性があることですが、その反面、独自のコードを記述する必要があります。