#wso2 #openid-connect #wso2is #catalina
Вопрос:
обычно я развертываю свой сервер идентификации WSO2 за балансировщиком нагрузки / прокси-сервером.
С WSO2 5.7 я изменяю catalina-server.xml добавление proxyPort=443 атрибута в соединитель HTTPS следующим образом:
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
port="9443"
proxyPort="443"
bindOnInit="false"
sslProtocol="TLS"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
...
/>
Я вижу эффект этого изменения, потому что все URI перенаправления, которые я получаю с сервера идентификации, не содержат порта 9443. Кроме того, токены OIDC, выпущенные IS, содержат iss эмитента со значением: mydomain.com:443/oauth2/token таким образом 443 , вместо порта используется порт 9443 .
Однако в WSO2 ЭТО 5.10, где эта опция может быть настроена deployment.toml следующим образом:
[transport.https.properties]
proxyPort = 443
Я могу видеть его влияние только на URI перенаправления, но не в токене OIDC, где у iss утверждения все еще есть 9443 порт: mydomain.com:9443/oauth2/token .
Для меня это не критическая проблема, так как я могу заранее настроить своих клиентов / поставщиков услуг с этим значением эмитента, но я хотел бы знать, является ли в WSO2IS 5.10 желаемым поведением или, возможно, ошибкой.
Ответ №1:
Это происходит при первом запуске сервера без настройки порта прокси. Потому что некоторые значения сохраняются в базе данных и не будут изменены позже, даже если вы измените имя хоста или порт прокси.
Для значения эмитента вы можете перейти resident identity provider > inbound authn config > OAuth2/OpenID Connect config к Identity Provider Entity ID новому значению и обновить его.