Как использовать client_ip и request_uri в политике XACML в WSO2 IS

Question

Мы используем WSO2 IS в качестве шины идентификации для наших решений.Мы создаем REST API в WSO2 ESB для реализации нашей интеграции и используем посредник OAuth для защиты нашего API.в WSO2 IS мы создаем поставщика услуг как sp1 и применяем к нему политику XACML.Я хочу создать политику XACML для разрешения входящих запросов только тогда, когда client_ip is xxx.xxx.xxx.xxx и request URI is http://wso2ESB.uri/sampleApi/app и method is GET.

, пожалуйста, помогите мне сделать эту политику XACML в WSO2 IS.

Answer 1

В настоящее время WSO2 Identity Server поддерживает только оценку политики XACML на основе области действия для поставщиков услуг oauth2 / oidc, где нет встроенной возможности для оценки политики в отношении client_ip, запроса URI, метода HTTP.Один из способов справиться с этой ситуацией - независимо от того, какой посредник oauth, вы можете написать собственный посредник класса для перехвата запроса (PEP) и вызвать EntitlementService для оценки запроса по PDP XACML в Identity Server.Внутри пользовательского посредника класса вы можете написать необходимую логику для извлечения необходимой информации для XACML-запроса client_ip, URI запроса, HTTP-метода ... и т. Д.

[1] https://docs.wso2.com/display/IS570/Validating+the+Scope+of+OAuth+Access+Tokens+using+XACML+Policies