В локальном экземпляре Keyrock у нас есть два пользователя A и B с двумя различными приложениями AppA и AppB, соответственно. Оба пользователя отличаются от пользователя «idm» администратора «admin». Прокси-сервер Wilma PEP настроен с учетными данными PEP от пользователя A. Проблема заключается в том, что пользователь B может получить действительный токен из Keyrock IdM и может успешно получить приложение AppA (которое, как уже упоминалось, зарегистрировано в прокси-сервере Wilma PEP с учетными данными PEP из пользователь A).FIWARE - токены Keyrock с общим разрешением, разрешающим несанкционированный доступ к приложениям (проблема безопасности?)
Это поведение по умолчанию компонентов Keyrock + Wilma (GE) или это действительно проблема безопасности? Я думаю, что пользователь B не должен получать доступ к приложению пользователя A. Кажется, что все токены являются общими и имеют доступ ко всем приложениям независимо от пользователей. Не хватает ли я понимания всего этого процесса?
Не могли бы вы мне помочь, @ Альваро? Должен ли я использовать AuthZForce мандатно? Или можно контролировать это, используя только Keyrock? – Dalton
Если это ожидаемое поведение, я думаю, что нет смысла настраивать приложения в Keyrock Horizon. Достаточно было бы только зарегистрировать пользователя в Horizon так, чтобы он мог получить действительные жетоны и получить доступ ко всем услугам ... Я не прав? – Dalton