我正在使用WSO2 API-M v3.0.0,并且创建了一个具有登录和订阅权限(与“内部/订户”角色相同的权限)的新角色。但是,由于具有拒绝访问权限,处于该新角色的用户无法登录到订阅者门户。我看到的唯一解决方法是将这些用户添加到新角色和内部/订户角色中。
创建任何新角色时,是否还需要进行其他更改?我没有使用多租户环境。
从APIM 3.0开始,基于权限的访问控制模型已替换为基于角色+基于权限的模型。因此,默认情况下,您的用户需要具有Internal/subscriber
访问开发人员门户的角色。
这就是它的工作方式。要访问开发人员门户,用户应该能够获得具有apim:api_subscribe
范围的访问令牌。为此,用户需要具有该Internal/subscriber
角色。此映射是/_system/config/apimgt/applicationdata/tenant-conf.json
在注册表中的文件中配置的。因此,您必须将新角色添加到此文件中。
从APIM 3.1开始,将有一个UI来配置它,这将使它比我们现在拥有的更加容易。
来自docs [1]。
在WSO2 API Manager 3.0.0中,开发人员门户和Publisher Web应用程序UI由API-M REST API填充,访问UI中不同组件的所有身份验证和授权仅取决于/ _system / config中定义的作用域角色映射。 /apimgt/applicationdata/tenant-conf.json,可以通过管理控制台从“资源”>“浏览”进行访问。
默认情况下,作用域-角色映射包含内部/创建者,内部/发布者,内部/订阅者作为默认角色。如果使用API创建者,API发布者,管理员和API订户权限定义了自定义角色,则必须在tenant-conf.json中的相关范围内配置这些角色。
像魅力一样工作,ty!我错过了文档中的这些信息,并感谢您发布该链接和该帖子的摘录,几秒钟内就得到了我的答案!