关于wso2is 5.4版和scim2组的问题
Questions about wso2is version 5.4 and scim2 groups
我在 5.4 版中使用带有 ldap 只读用户存储的 wso2is。我启用了 scim2,并且能够按预期通过 /scim2/Users 界面列出用户。
当我尝试通过调用 /scim2/groups 接口列出组时,仅返回 2 个组:PRIMARY/admin 组 - 我猜这是一个内部组和另一个从 ldap 获得的组。
如果我从管理控制台列出角色(组),则会列出更多角色,这些角色是从 LDAP 导入的,奇怪的是,与 Groups 命令列出的组对应的角色是不可见的。
当我调用 /Users 命令时,在控制台上记录了消息:
[2018-02-06 12:49:02,798] DEBUG {org.wso2.carbon.identity.scim2.common.group.SCIMGroupHandler} - The group MID.Portal.Consulting is not a SCIM group. Skipping..
这条消息是什么意思?
另一个问题:
wso2 documentation 声明 "From 5.4.0 onwards, SCIM 2.0 is supported OOTB with WSO2 IS." 在 identity.xml 文件
中有 EventListener-Entries
<EventListener type="org.wso2.carbon.user.core.listener.UserOperationEventListener"
name="org.wso2.carbon.identity.scim.common.listener.SCIMUserOperationListener"
orderId="90" enable="false"/>
<!-- Enable the following SCIM2 event listener and disable the above SCIM event listener if SCIM2 is used. -->
<EventListener type="org.wso2.carbon.user.core.listener.UserOperationEventListener"
name="org.wso2.carbon.identity.scim2.common.listener.SCIMUserOperationListener"
orderId="93" enable="true"/>
有什么意义吗?
Identity Server 有 2 个独立的 SCIM 1.1 和 2.0 实现。在 IS 5.4.0 之前,只有 SCIM 1.1 实现与产品一起打包 OOTB。 connector store 中提供了 SCIM 2.0 实现,可以下载并安装到 Identity Server。从 IS 5.4.0 开始,1.1 和 2.0 实现都是产品中可用的 OOTB。
不显示只读用户存储中的组的问题实际上是身份服务器中的一个限制。仅从用户存储中读取组名和成员。组 ID 和与组相关的所有其他元数据都在 Identity Server 数据库中维护。组的 ID 仅在从身份服务器创建组时生成。因此,由于此限制,SCIM 组操作将无法与只读用户存储正常工作。
编辑:由于您的用户存储是只读的,因此更改 EventListener 不会有太大区别。但是最好进行适当的配置。
如果有userstore是可读写的,那你一定要做这个配置。
我在 5.4 版中使用带有 ldap 只读用户存储的 wso2is。我启用了 scim2,并且能够按预期通过 /scim2/Users 界面列出用户。 当我尝试通过调用 /scim2/groups 接口列出组时,仅返回 2 个组:PRIMARY/admin 组 - 我猜这是一个内部组和另一个从 ldap 获得的组。 如果我从管理控制台列出角色(组),则会列出更多角色,这些角色是从 LDAP 导入的,奇怪的是,与 Groups 命令列出的组对应的角色是不可见的。 当我调用 /Users 命令时,在控制台上记录了消息:
[2018-02-06 12:49:02,798] DEBUG {org.wso2.carbon.identity.scim2.common.group.SCIMGroupHandler} - The group MID.Portal.Consulting is not a SCIM group. Skipping..
这条消息是什么意思?
另一个问题: wso2 documentation 声明 "From 5.4.0 onwards, SCIM 2.0 is supported OOTB with WSO2 IS." 在 identity.xml 文件
中有 EventListener-Entries<EventListener type="org.wso2.carbon.user.core.listener.UserOperationEventListener"
name="org.wso2.carbon.identity.scim.common.listener.SCIMUserOperationListener"
orderId="90" enable="false"/>
<!-- Enable the following SCIM2 event listener and disable the above SCIM event listener if SCIM2 is used. -->
<EventListener type="org.wso2.carbon.user.core.listener.UserOperationEventListener"
name="org.wso2.carbon.identity.scim2.common.listener.SCIMUserOperationListener"
orderId="93" enable="true"/>
有什么意义吗?
Identity Server 有 2 个独立的 SCIM 1.1 和 2.0 实现。在 IS 5.4.0 之前,只有 SCIM 1.1 实现与产品一起打包 OOTB。 connector store 中提供了 SCIM 2.0 实现,可以下载并安装到 Identity Server。从 IS 5.4.0 开始,1.1 和 2.0 实现都是产品中可用的 OOTB。
不显示只读用户存储中的组的问题实际上是身份服务器中的一个限制。仅从用户存储中读取组名和成员。组 ID 和与组相关的所有其他元数据都在 Identity Server 数据库中维护。组的 ID 仅在从身份服务器创建组时生成。因此,由于此限制,SCIM 组操作将无法与只读用户存储正常工作。
编辑:由于您的用户存储是只读的,因此更改 EventListener 不会有太大区别。但是最好进行适当的配置。 如果有userstore是可读写的,那你一定要做这个配置。