我正在使用WSO2 API-M v3.0.0,并且我创建了一个具有登录和订阅权限的新角色(与授予"内部/订阅者"角色的权限相同(。但是,此新角色中的用户无法登录到订阅者门户,因为他们的访问被拒绝。我看到的唯一解决方法是将这些用户添加到新角色和内部/订阅者角色。
创建任何新角色时,是否需要执行任何其他更改?我没有使用多租户环境。
从 APIM 3.0 开始,基于权限的访问控制模型被基于角色的 + 基于权限的模型所取代。因此,默认情况下,用户需要具有Internal/subscriber角色才能访问开发人员门户。
这就是它的工作原理。若要访问开发人员门户,用户应能够获取具有apim:api_subscribe范围的访问令牌。为此,用户需要具有Internal/subscriber角色。此映射在注册表/_system/config/apimgt/applicationdata/tenant-conf.json文件中配置。因此,在您的情况下,您必须将新角色添加到此文件中。
从 APIM 3.1 开始,将有一个 UI 来配置它,这将使它比我们现在拥有的更容易。
来自文档[1]。
在 WSO2 API Manager 3.0.0、开发人员门户和发布者 Web 中 应用程序 UI 由 API-M REST API 和所有 身份验证和授权以访问 中的不同组件 UI 仅取决于 中定义的范围角色映射/_system/config/apimgt/applicationdata/tenant-conf.json 可以是 通过管理控制台从资源>浏览访问。
默认情况下,作用域-角色映射包含内部/创建者, 内部/发布者、内部/订阅者作为默认角色。如果有 是使用 API 创建者、API 发布者、管理员和 API 订阅者权限,这些角色必须在 租户-conf.json在相关范围内。
[1] https://apim.docs.wso2.com/en/latest/Administer/ProductAdministration/ManagingUsersAndRoles/managing-user-roles/