标签: authzforce

为此，我开始在 Orion Context Broker 前面放置一个Wilma PEP Proxy实例。然后，我根据官方IdM Keyrock docker映像配置了自己的 Identity Manager keyrock GE 实例，并根据官方AuthzForce docker 映像配置了自己的 Authorization PDP GE 。

经过几天的配置和多次尝试，我终于可以让这三个安全通用启用器正常工作，使用PEP 代理级别 2对 Orion Context Broker NGSI API 的请求进行身份验证和授权。

但是，2 级授权不足以保证我想要的，因为服务（租户）和子服务（应用程序路径）信息都在请求的标头中。特别是在Fiware-Service 和Fiware-ServicePath 标头中。为了构建基于标头的授权策略，您需要使用级别 3：XACML 授权。

问题是我在 Fiware 的官方文档中进行了一些挖掘，但找不到任何 XACML 策略的示例。除了 Wilma PEP Proxy 的官方文档（请参阅此处）外，您可能必须修改 PEP Proxy 源代码才能获得此级别的授权。

由于这种情况被认为是检查请求的高级参数，例如正文或自定义标头，因此这取决于具体的用例。因此，程序员应该修改 PEP 代理源代码以包含特定要求。

有这样可能吗？

我真的需要修改 PEP 代理源代码来实现像租户只能访问他的数据这样简单的事情吗？

authorization fiware-orion fiware fiware-wilma authzforce

Emi*_*tti

2018 05-30

5
推荐指数

1
解决办法

337
查看次数

在哪里可以在PDP上针对属性提供者再次检查XACML请求的属性？

我正在评估PDP引擎，此刻我尝试AuthzForce Core。到目前为止，PDP评估请求的过程非常可靠：

//My request and pdp configuration files
File confLocation = new File("D:/docs/XACML/AuthZForce/IIA001/pdp.xml");//pdp.xml tells the pdp where the policies xml files are
File requestFile = new File("D:/docs/XACML/AuthZForce/IIA001/Request.xml");

//I instantiate the pdp engine and the xacml parser
final PdpEngineConfiguration pdpEngineConf = PdpEngineConfiguration.getInstance(confLocation, null, null);
PdpEngineInoutAdapter<Request, Response> pdp = PdpEngineAdapters.newXacmlJaxbInoutAdapter(pdpEngineConf);
XmlUtils.XmlnsFilteringParser xacmlParserFactory = XacmlJaxbParsingUtils.getXacmlParserFactory(false).getInstance();

//I parse the request file
Object request = xacmlParserFactory.parse(requestFile.toURI().toURL());
if (request instanceof Request) {
    //At this point I could access all request attributes or alter them …

Run Code Online (Sandbox Code Playgroud)

authorization xacml pdp abac authzforce

One*_*rld

2018 05-18

2
推荐指数

1
解决办法

179
查看次数