WSO2 API 身份服务器错误 403 的发布者 SSO

Question

我遵循指南https://apim.docs.wso2.com/en/latest/reference/customize-product/extending-api-manager/saml2-sso/configuring-identity-server-as-idp-for-sso/#configuring-wso2-identity-server-as-a-saml-20-sso-identity-provider但是得到

错误 403：禁止访问

服务器无法验证您是否有权访问所请求的资源

当尝试登录发布者时 -

Answer 1

如果您是 运行 API Manager 和配置了独立用户存储的 Identity Server，则以下答案适用。在 Docs 中提到的说明之上应用以下配置并尝试该场景。

1. 在名为 publisher 和 creator 的身份服务器中添加两个没有任何权限的角色，并将这两个角色分配给您用于登录的用户。如果您已经将角色分配给身份服务器中的用户以在 API 管理器服务器中进行角色映射，则可以跳过这一部分。

2. 打开您在 Identity Server 中创建的服务提供者并转到 Inbound Authentication Configuration > SAML2 Web SSO Configuration 并单击 Edit。勾选 Enable Attribute Profile 和 Include Attributes in the Response Always 和 Update

3. 展开在Identity Server中创建的Service Provider的Claim Configuration和selectUse Local Claim Dialect选项。然后，点击Add Claim URI，在出现的下拉菜单中select http://wso2.org/claims/role勾选Mandatory Claim。完成后，更新配置。

4. 打开在 API 管理器服务器下创建的身份提供程序并展开 Role Configuration 部分。

   • 点击Add Role Mapping并输入以下内容
     • Identity Provider Role: publisher （使用您在身份服务器中分配的正确角色名称）
     • Local Role: Internal/publisher
   • 点击Add Role Mapping并输入以下内容
     • Identity Provider Role: creator （使用您在身份服务器中分配的正确角色名称）
     • Local Role: Internal/creator

   更新配置。

保存配置后，现在尝试使用特定用户登录 API 管理器的发布者门户。