小编Lou*_*lus的帖子

建议WSO2 API管理器针对Shibboleth IDP使用SSO的当前推荐方法是什么？

我们的组织有一个围绕Shibboleth IDP构建的现有SSO基础架构,我们希望将其集成到我们的API Manager安装中.理想用例:

• 用户导航到API Manager Store.
• 用户被重定向到Shibboleth IDP登录页面.
• 如果不存在,则会创建API Manager帐户并为其分配订阅者角色.
• 用户返回API Manager并登录."Signed-in-as:"呈现合理的用户名(即不是GUID).

我知道API Manager中有一个包含的SAML2身份验证器组件,但功能有限,特别是它不处理加密断言,使用用户名/显示名称的特定属性和自动用户创建.

我知道我们可以编写一个自定义身份验证器,但我们宁愿避免创建另一个需要维护的代码库,也没有社区支持.如果无法确定更简单的解决方案,那么这可能就是我们所做的.

我目前正在研究的是将API Manager的所有用户管理委派给WSO2 Identity Server.在返回AM之前,它会将身份验证委派给Shibboleth和自动配置用户.IS似乎可以解决上面提到的所有问题.

1. 首先,这是一个合适的策略吗？如果是这样,如何建议配置AM和IS？
2. IS和AM是否应指向同一个JDBC数据库,还是AM指向IS的LDAP服务器？
3. 关于指向IS的AM身份验证器,我应该使用SAML还是OAuth,还是有更好/更简单的？

Shibboleth IDP v2.4 - 具有属性推送的SAML2首选.
WSO2 API Manager v1.6.0
WSO2 Identity Server v5.0.0