我们将WSO2 IS用作解决方案的身份总线。我们在WSO2 ESB中制作REST API以实现我们的集成并使用OAuth调解员来确保我们的API。在WSO2中,我们将服务提供商创建为sp1,并将XACML策略应用于此。我想创建XACML策略以允许在client_ip is xxx.xxx.xxx.xxx和request URI is http://wso2ESB.uri/sampleApi/app和method is GET时允许传入请求。
请帮助我在WSO2中制定此XACML政策。
当前WSO2身份服务器仅支持基于范围的XACML策略评估OAuth2/OIDC服务提供商,那里没有一个盒子的能力来评估Client_ip,请求URI,HTTP方法的策略。处理这种情况的一种方法是不论OAUTH调解员,您都可以编写自定义类中介器以拦截请求(PEP)并Invoke Antlementservice,以评估身份服务器中针对XACML PDP的请求。在自定义类中介器中,您可以编写必要的逻辑,以提取XACML请求客户端,请求URI,HTTP方法...等
[1] https://docs.wso2.com/display/is570/validating the scope f auth auth access tokens tokens using xacml xacml policasies