Article Outline
TOC
Collection Outline
跨校区业务实验计划
在望城项目中,存在跨校区访问业务系统的需求。为此,我们计划首先编写两个Web应用(TestApp1和TestApp2),分别部署在两个校区(域名分别为:wc.mtn和wd.mtn)各自的tomcat服务器上来模拟个校区的教务系统和教保系统)。然后在两个校区各部署一套wso2IS作为各自的身份管理系统负责用户身份管理和上述两个Web应用的SSO。
一、实验准备
1、实验环境
| 服务器 | 操作系统及软件环境 | IP地址 | 主机域名 | 端口 |
|---|---|---|---|---|
| wc.mtn | windows 8+jdk_81.8.144+wso2IS5.7 | 192.168.200.24 | is.wc.mtn | 8080、8443、9443、9444、9445、9446 |
| wd.mtn | ubuntu 14.4+jdk_1.8.144+wso2IS5.7 | 192.168.200.224 | is.wd.mtn | 8080、8443、9443、9444、9445、9446hosts |
本地DNS解析(在客户端机器及两个服务器的hosts文件中添加如下内容):
192.168.200.24 is.wc.mtn
192.168.200.24 tomcat.wc.mtn
192.168.200.224 is.wd.mtn
192.168.200.224 tomcat.wd.mtn2、角色和权限
| 服务提供者(SP) | 应用角色 | 权限 | 映射IS角色 |
|---|---|---|---|
| TestApp1 | managerApp1 | canAddStudent、candDeleteStudent、canEditStudent、canViewStudent | managerIS |
| TestApp1 | studentApp1 | canViewStudent | studentIS |
| TestApp1 | teacherApp1 | canViewStudent、canEditStudent | teacherIS |
| TestApp2 | managerApp2 | canAddDevice、candDeleteDevice、canEditDevice、canViewDevice | managerIS |
| TestApp2 | studentApp2 | canViewDevice | studentIS |
| TestApp2 | teacherApp2 | canViewDevice、canEditDevice | teacherIS |
3、is.wc.mtn中的用户和角色
| 角色 | 用户 |
|---|---|
| managerIS | WCManagerUser |
| studentIS | WCStudentUser |
| studentIS | WCTeacherUser |
4、is.wd.mtn中的用户和角色
| 角色 | 用户 |
|---|---|
| managerIS | WDManagerUser |
| studentIS | WDStudentUser |
| studentIS | WDTeacherUser |
5、分别在两台机器上安装应用服务器和IS服务器
确保在客户机上以下六个地址可正确访问:
https://is.wc.mtn:9443/carbon U/P: admin/admin
https://is.wd.mtn:9443/carbon U/P: admin/admin
6、创建角色、用户、配置服务提供者
建议的顺序:
- 在添加服务提供者SP前先创建IS角色;
- 在添加服务提供者SP时,展开角色/权限配置配置SP的权限和SP角色与IS角色的映射关系;
- 给IS角色配置SP权限;
- 添加用户,并为其分配IS角色。
二、开始实验
1、实验一:两个IS示例之间的联合身份验证
参考文档:使用其他身份服务器 - SAML2登录Identity Server