martes, 14 de enero de 2014

WSO2 con múltiples almacenes de usuarios.

Posted by Jorge on 1/14/2014 02:00:00 a. m.
4























Un requerimiento altamente pedido en cualquier solución que se encargue de gestionar identidades es la de soportar múltiples almacenes de usuarios.

WSO2 ha incorporado esta funcionalidad desde hace un tiempo y en esta entrada quiero mostrarles lo fácil que es de configurar.

Los prerrequisitos son los siguientes:

  1. Contar con una BD que almacene los usuarios y roles, o con un LDAP que gestione las identidades. En esta entrada estaremos usando un LDAP.
  2. Usar alguna de las herramientas de WSO2 que soporte  la funcionalidad de múltiples almacenes. En esta entrada estaremos usando el WSO2 ESB v.4.8.0
 Paso 1: crear el almacén de usuarios.
Luego de iniciar el ESB de WSO2 vamos a la opción Home> Configure > User Store Management.




















Ahí damos clic en “Add Secoondary User Store” y vamos a esta página.


Como ven de momento se soportan almacenes de usuario para Active Directory, LDAP y para BD.
Seleccionamos la última opción pues usaremos un LDAP legado que en este caso tiene los usuarios pero no los grupos o roles.

Como se puede apreciar debemos llenar los campos para:

  1. Establecer el nombre de usuario con el que se accederá al LDAP, en nuestro caso será un usuario impersonal con permiso de lectura.
  2. Establecer la URL de acceso al LDAP.
  3. Establecer la contraseña de acceso para el usuario impersonal.
  4. Establecer la base a partir de la cual se realizarán todas las búsquedas de los usuarios. Mientras más general sea más usuarios se encontrarán pero mayor será el tiempo de búsqueda dentro del LDAP.
  5. Establecer el criterio de filtrado.
  6. Establecer el atributo a partir del cual se buscará un usuario en específico. Esto sirve para la autenticación de los usuarios pues este será el atributo usado como usuario.
Establecer el criterio de filtrado para un usuario en particular.
Definir si será un almacén de solo lectura o no.

Si el LDAP que están usando permite la escritura pues habrá otras opciones a incluir o si ya tienen los grupos creados igual, pero con esto basta de momento.

Ahora le damos al botón “Add” y listo. Veremos este mensaje y luego de unos segundos ya tendremos nuestro almacén creado.

Paso 2: buscar usuarios y gestionar roles.

Cuando el almacén es creado tiene este aspecto.


Lo cual nos permite editarlo, deshabilitarlo o borrarlo según nuestras necesidades.

Si vamos ahora a la opción Home > Configure> Users and Roles> Users veremos  algo como lo siguiente:


Vean que se puede seleccionar el dominio para buscar los usuarios o establecer algún tipo de patrón para filtrar los usuarios. En cualquier caso se les mostrará una tabla con los usuarios encontrados y con facilidades para cambiar la contraseña, asignarle roles o ver los roles que posee.



Para el caso de los ldap de solo lectura si queremos usar sus usuario debemos configurar roles internos, ya que no podemos crear roles(grupos) en el ldap ni usar los roles del almacén primario. Para hacerlo vamos a la opción Home> Configure > Users and Roles> Roles y creamos un rol nuevo dando clic en “Add New Internal Role” y para ello pueden ver esta secuencia de imágenes.


Luego damos “Finish” y listo.

De esta manera hemos creado un nuevo rol con todos los privilegios y le hemos asignado un usuario del almacén de usuarios secundario, con lo cual ya este usuario podrá autenticarse en el sistema. Y esto será en el paso 3.

Paso 3: autenticar al usuario en el sistema.

Luego de salir de usuario admin por defecto entramos con el usuario del LDAP y con el rol admin_interno.


Igual pueden autenticarse con LDAP/jorgeio en caso de que este usuario esté en más de un almacén.
La confirmación la podemos ver desde la UI o desde la consola.



Y eso es todo. En unos pasos bien sencillos hemos podido configurar una herramienta de WSO2 para un almacén de datos secundario.

Espero les sea de utilidad.

Posted in , , ,

4 comentarios:

  1. Iskael5 de febrero de 2014, 16:52

    Perfecto es cierto que mejoraron muchisimo con esta configuración visual, porque antes para poder configurarlo habia que estar editando manualmente el xml y lo otro es que no soportaba almacenes multiples. Muy buen post

    ResponderEliminar
  2. Unknown8 de abril de 2014, 15:35

    Muy buen tutorial, pero como defines los demás almacenes y que si no encuentra ese usuario en el primer almacén vaya a buscarlo al segundo?

    ResponderEliminar
  3. Jorge25 de abril de 2014, 0:45

    Según la documentación puedes usar un usuario con solo su nombre o poniendolo de la siguiente manera [dominio]\[usuario] si lo especificas así debe buscarte un usuario de ese dominio, pero si pones solo el nombre buscará en cada almacén, el problema aquí es que si la contraseña no se corresponde con el usuario del primer almacén entonces fallará la autenticación.

    Para definir los demás almacenes es igual a como se hace en este que documento

    ResponderEliminar
  4. Unknown4 de agosto de 2016, 8:14

    Jorge, muy bueno el ejemplo. Podras indicar como se hace sin LDAP, o sea, contra una base de datos por JDBC, adaptando los queries.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)

Ultimos Comentarios

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Translate

Popular Posts

Visitantes

Etiquetas

WSO2 (123) ESB (33) servicios web (16) API (12) bpm (12) REST (11) IS (10) WSO2 Developer Studio (9) Bonita (8) BPMS (7) axis2 (7) seguridad (7) soa (7) AS (6) BAM (6) JAX-WS (6) SOAPUI (6) UserName Token (6) APIM (5) CEP (5) developer studio (5) BRS (4) Cloud Computing (4) DSS (4) SSO (4) integración (4) servicio de datos (4) AppFactory (3) BPEL (3) Drools (3) GREG (3) IBM MQ (3) Identity Server (3) JAVA (3) JSON (3) RESTful (3) STRATOS (3) WSO2 BPS (3) cluster (3) interoperabilidad (3) maven (3) patrones de integración (3) reglas de negocio (3) servicio proxy (3) websphere (3) xml (3) CXF (2) Computación en la Nube (2) DAS (2) ELB (2) ERRORES (2) Elastic Load Balancer (2) Excel (2) JMS (2) Oracle (2) PHP (2) XACML (2) application server (2) arquitectura (2) arquitectura de software (2) carbon ui (2) cliente (2) credenciales de usuarios (2) cuba (2) factoría software (2) mediadores (2) mock (2) patrones de diseño (2) rendimiento (2) smooks (2) ws-policy (2) wso2con (2) AM (1) Arquitectura Orientada a Servicios (1) BPS (1) CDM (1) Cloud (1) ES (1) Enterprise Store (1) Gateway (1) Governance Registry (1) InputEventAdaptor (1) IoT (1) JNDI (1) LDAP (1) MB (1) MDC (1) MULE (1) Manager (1) Message Broker (1) Metro (1) OSGI (1) PDP (1) PEP (1) SUSE (1) Scatter-Gather (1) Throttling (1) Transacciones (1) WSDL (1) WSF-PHP (1) WSO2 AS (1) WSO2 MB (1) WUM (1) XSLT (1) XStream (1) aggregation (1) almacenes (1) alta disponibilidad (1) arquitectura de despliegue (1) arquitectura de referencia (1) arquitectura de seguridad (1) autorización (1) balanceo de carga (1) banco (1) buenas prácticas (1) chakray (1) ciclo de vida (1) clone (1) conectores (1) decision (1) diseño servicios (1) edit_002duser_002droles_jsp (1) enterprise pattern (1) escalabilidad (1) escenarios de uso (1) españa (1) factoría (1) gobierno electrónico (1) herramientas (1) jsp (1) latinoamerica (1) logs (1) metodología (1) monitorización (1) pruebas (1) redundancia (1) salud (1) script mediator (1) servicios (1) servidores (1) split (1) suite (1) tabla de decision (1) table (1) tomcat (1) troubleshooting (1) xls (1)