关于第一个问题,答案是否定的。内部嵌入式LDAP是主要的用户存储。您不能将其用作辅助用户存储。另外,不建议在生产中使用嵌入式LDAP。因此,最好设置一个外部LDAP服务器,以便您可以使用身份服务器连接到该服务器并使其成为用户存储。[1]
关于第二个问题,我的建议是在创建SP时,会为该服务提供商自动创建一个混合角色。您可以将该角色分配给需要根据服务提供商进行分组的用户。[2]
[1]。https://is.docs.wso2.com/zh/5.9.0/setup/configuring-secondary-user-stores/
[2]。https://is.docs.wso2.com/zh/5.9.0/learn/configuring-roles-and-permissions-for-a-service-provider/