wso2 - 在某些情况下在反向代理后面配置 WSO2

Question

我正在尝试在用于 SSL 卸载的反向代理后面设置 WSO2 身份服务器。例如，假设 WSO2 IS 在 https://<some-ip>:9443/ 可用。 ，我试图将其放在反向代理后面，地址如 https://<domain name>/is/ .注意上下文路径 /is 和 SSL 端口 443。我认为这将是微不足道的，但遗憾的是我无法找到实现相同目的的任何结论性文档。

我的应用程序正在使用 OIDC 连接到 WSO2 IS 并使用 Azure 应用程序网关作为反向代理——通常所有 API 调用都运行良好，但由于上下文，UI(或涉及重定向的流程)都无法运行。我还可以通过在反向代理处重写 URL 来修复重定向，但这仍然不能解决问题。例如，将出现登录页面，但来自同一页面的 XHR 调用将转至 /logincontext。而不是 /is/logincontext .我在哪里可以设置 WSO2 IS 中的代理上下文路径？我已经尝试在 .toml 中设置相同的内容文件(相当于在 carbon.xml 中设置它)，但它似乎只影响管理门户。

WSo2 IS 文档讨论了在 ngnix 后面设置它，但该文档没有使用任何路径上下文。我可以找到其他 WSO2 产品(例如 WSO2 API 管理器)的反向代理文档，但它只涉及更新 carbon.xml 并且不适用于 WSO2 IS。我不是 Java 人员，因此很难弄清楚 WSO2 的 Web 应用程序组织。

任何有关设置代理上下文的文档/指南的帮助/链接都是有用的。

Answer 1

我知道这个答案来得有点晚，但最近我遇到了类似的问题，这就是我如何让它发挥作用的，也许它对某人有帮助。我使用的是 WSO2 IS 5.11.0。

注意:我在 stackoverflow 上检查了类似的问题，发现了一些问题，但对于我的情况来说，没有一个是足够的。也许我想出的解决方案不是最好或最正确的，但它是我唯一可以使用的解决方案。

这是我的做法，假设上下文路径是 is :

1. 打开 Carbon 管理控制台并转到身份提供者 -> 驻留。然后，转到入站身份验证配置 -> OAuth2/OpenID 连接配置。在这里，将身份提供者实体 ID 下的主机名更改为 https://domain_name:443/is/<remaining path> .确保端口号在此处和客户端应用程序中存在或不存在。如果两者之间存在不匹配，出于某种原因，它就不会起作用(或者至少对我来说不起作用)。

2. 打开文件deployment.toml，修改如下:

   • 在[server]下部分，在 base_path url 的末尾添加您的代理上下文，例如base_path = "https://$ref{server.hostname}:${carbon.management.port}/is" ;

     当然还要加上proxy_context_path = "is" (实际上，最后一行应该足够了，但出于某种原因在我的情况下还不够，所以我也不得不修改基本路径)；

   • 在 [transport.https.properties] 下添加 proxyPort="443" .

   郑重声明，我还通过添加关闭了压缩:

   [transport.http.properties]
   compression="off"
   [transport.https.properties]
   ...
   compression="off"
   

   并将 token 发行者 URL 设置为等于在 Carbon 中设置的实体 ID，其中:

   [oauth]
   use_entityid_as_issuer_in_oidc_discovery = true
   

   但发现不需要最后两个步骤(关闭压缩并将实体 ID 设置为发行者)。

3. 通过设置 org.owasp.csrfguard.Enabled = false 来禁用 csrf 守卫在文件/repository/resources/conf/templates/repository/conf/security/Owasp.CsrfGuard.Carbon.properties.j2 中。这一步对我来说是必要的，以避免在登录 Carbon 控制台后出现 403 错误(关闭压缩不起作用)。

4. 最后，如果您使用 nginx 作为反向代理(就像我一样)，请将这两行添加到用于 wso2 的位置:

    proxy_redirect https://domain_name/oauth2/ https://domain_name/is/oauth2/;
    proxy_redirect https://domain_name/carbon/ https://domain_name/is/carbon/;
   

   这些是必需的(或者至少对我来说是必需的)，因为某些 URL 不在上下文路径下。特别是，最后一个允许您在 https://domain_name/is/carbon/ 打开 Carbon 控制台。 .

引用资料:

wso2 api manger carbon page gives 403 Forbidden

WSO2 Identity Server login returns a 403

WSO2 Identity Server port configuration

要了解从 5.9.0 版本开始采用的基于模板的配置模型，请参阅: https://apim.docs.wso2.com/en/latest/reference/understanding-the-new-configuration-model/ https://mcvidanagama.medium.com/understand-wso2-api-managers-new-configuration-model-6425a2710faa

这里有一些来自旧 xml 的有用的配置映射到新toml基于模型: https://github.com/ayshsandu/samples/tree/master/config-mapping