WSO2 Identity Server と WSO2 API Manager を評価しています。
API Manager に API とアプリケーションを登録しました。リソースを正常に呼び出すことができます。
ユーザーを Identity Server に追加し、oAuth 認証を使用してログインすることもできます。
しかし、これら 2 つのシステムをどのように組み合わせて使用できるかは、あまり明確ではありません。API Manager を使用して、API をいくつかのアプリケーションに公開したいと考えています。そして、Identity Server を使用して最終ユーザーをログに記録したいと考えています。それは可能ですか?これらの 2 つのシステムを「接続」するにはどうすればよいですか?
それが最善の方法かどうかはわかりませんので、アドバイスをお願いします。
ありがとう
あなたのユースケースについての私の理解によると、APIを安全に公開する必要があります。したがって、WSO2 Identity Server と WSO2 API Manger を使用する必要があります。それに加えて、上記のユースケースに最適なアプローチが必要です。上記の 2 つの製品では、以下の 2 つのオプションがあります。
WSO2 API Manager で WSO2 Identity Server をキー マネージャーとして構成する(このリンクでは、両方の製品の異なるバージョンの組み合わせが表示されます)
ここで、キー マネージャー機能を WSO2 IS に追加する必要があります。
ここで、最初のオプションには手動構成があります。しかし、2番目のオプションは手動構成を最小限に抑えました。
IdentityServerを使用する目的はあまり明確ではありません。認証/承認をAPIManagerインスタンスから分離するためですか?
デフォルトでは、API Managerには、すべてのセキュリティおよびキー関連の操作を担当するキー管理サーバーコンポーネントが付属しています。これは、定義されたユーザーストアまたは複数のユーザーストアに対してユーザーを認証するように構成できます。承認はoAuth2.0に基づいています。ただし、実稼働環境では、このコンポーネントを個別のサーバーインスタンスとして導入して、外部のキー管理サーバーとして実行することをお勧めします。
これは、API Managerディストリビューションの別のコピーを使用し、それをKeyManagerサーバーノードとして構成するだけで実行されます。
お役に立てれば。
よろしく、ジリアン
私の理解は、
すべての AM コンポーネントでシングル サインオンが必要で、他の ID プロバイダー (IdP) がない場合は、別の IS が必要です。
ただし、個別の IdP がある場合は、IS サーバーをインストールして AM の SSO を実装する必要はありませんが、IS のドキュメントではそうすることを推奨している場合があります。たとえば、SSO の実装は PingFederate/PingIdentity で成功しています。WSO2 API Manager (AM) 1.10.0 を PingFederate SAML 2.0 と統合する方法を参照してください。