Я работаю над проектом, который содержит несколько приложений. Я должен реализовать Single Sign On с WSO2 Identity Server. Я не знаю, как установить авторизацию пользователя, чтобы пользователи могли войти на страницу единого входа, только если у них есть разрешения на доступ к определенному приложению (поставщику услуг). Есть идеи?Одиночный вход с сервером идентификации WSO2 5.1
В сервере идентификации WSO2 вы можете создавать поставщиков услуг для каждого приложения. Затем configure SAML2 SSO у всех поставщиков услуг, предоставляя URL-адреса Assertion Consumer Service (ACS) (т. Е. URL-адреса обратного вызова) для каждого приложения. Это позволит использовать SSO среди этих приложений.
В каждой Службе поддержки утверждений вы можете прочитать имя пользователя/роли пользователя и т. Д. Из ответа SAML и решить, разрешено ли пользователю входить в приложение.
Вы можете настроить конфигурацию поставщика услуг, ссылаясь на [1] для своего клиентского приложения. Затем вы можете настроить претензии в Поставщике услуг, чтобы ответ SAML, отправленный сервером идентификации, содержал требуемые требования. Вы можете сослаться на это [2]. Затем вы можете включить заявку на роль, которая должна быть получена в ответе SAML, в качестве атрибута пользователя [3]. Теперь из клиентского приложения вы можете прочитать ответ SAML и узнать роли, предоставленные пользователем. Основываясь на ролях, ваше приложение должно определить уровни авторизации, разрешенные этим пользователем.
[1] http://tharindue.blogspot.com/2015/04/setup-travelocitycom-sample-web-app.html
[2] http://tharindue.blogspot.com/2016/08/retrieving-user-claims-in-saml-response.html
[3] http://tharindue.blogspot.com/2016/09/saml-multi-valued-attributes-in-wso2.html