WSO2 IS 作为 KM - 密钥验证服务 - 客户端权限
WSO2 IS as KM - key validation service - client permissions
我们设置了 WSO2AM (2.2.0),其中 WSO2IS-KM 用作密钥管理器,DMZ 中有一个 API 网关。 API GW 正在内部网络上调用 KM 以使用 WSClient 验证访问令牌。
我看到的问题是用于调用密钥验证服务的凭据是管理员凭据。因此,在 DMZ 妥协的情况下,服务凭证可以有效地用于调用 KM 上的任何管理服务(我假设包括操纵用户存储)。
我们是否可以为网关客户端分配特定权限,以便网关能够验证访问令牌,但不能调用其他管理服务?
另一个选项是在 HTTP 代理级别上限制从 DMZ 访问 KM,仅公开特定的 URL(服务)。是否有特定于 KeyManager 的服务列表?
以下权限足以调用令牌验证服务
/permission/admin/manage/identity/pep
您可以在此权限下创建角色。
我们设置了 WSO2AM (2.2.0),其中 WSO2IS-KM 用作密钥管理器,DMZ 中有一个 API 网关。 API GW 正在内部网络上调用 KM 以使用 WSClient 验证访问令牌。
我看到的问题是用于调用密钥验证服务的凭据是管理员凭据。因此,在 DMZ 妥协的情况下,服务凭证可以有效地用于调用 KM 上的任何管理服务(我假设包括操纵用户存储)。
我们是否可以为网关客户端分配特定权限,以便网关能够验证访问令牌,但不能调用其他管理服务?
另一个选项是在 HTTP 代理级别上限制从 DMZ 访问 KM,仅公开特定的 URL(服务)。是否有特定于 KeyManager 的服务列表?
以下权限足以调用令牌验证服务
/permission/admin/manage/identity/pep
您可以在此权限下创建角色。