标签: xacml

有没有人编写过XACML实现而不是Sun XACML Implementation和XEngine？

谁在他们的产品中使用它们？

哪些供应商提供PDP？我读了一些关于WebLogic XACML Provider的内容.还有哪些其他产品支持XACML？

我们有一个中等规模的商业应用程序,我们大量使用Spring Security角色和权限(RBAC)来为某些实例打开和关闭角色以及隐藏在@PreAuthorize标记内的SpEL中的规则.

我认为我们实际实施了什么(不知道它是ABAC).XACML看起来非常复杂和臃肿,所以我不喜欢这里的答案:

如何通过上下文更改Spring Security角色？

有没有人在没有XACML的情况下完成了轻量级的ABAC实施？我希望能够让我们分离关注点,因为域对象只是做@PreAuthorize(WRITE)等,我们的授权策略将与它分离.

从我读过的内容来看,ABAC的基本原理非常简单.您有一个Action(非常像Permission)和一种机制来解决当前Principal是否具有给定Subject的权限.

我知道AccessDecisionVoter大致是正确的接口类型,但我不认为它是用于对权限进行投票.然而,实施我们的授权政策与这样的事件似乎非常有吸引力.

抱歉这个漫无边际的问题!基本上我对ABAC很感兴趣,但我想避免家酿,但担心当我们需要Cessna时XACML是一架大型喷气式飞机.

我有一个项目需要 ABAC 对我的项目资源进行访问控制。我一直在研究 OPA 和 authzforce 作为实现 ABAC 的选项，而 OPA 看起来可能没有 authzforce 复杂。我看到 OPA 将自己与其他系统和范式进行了比较，但它为 ABAC 提供的示例还有很多不足之处。主要是因为 ABAC 需要使用点来执行策略、围绕策略做出决策、为策略决策获取主体和客体属性。我觉得 OPA 拥有除最后一部分之外的所有内容，但很难判断这是否属实，因为他们的 ABAC 示例只是一次性的。

我一直在互联网上寻找 OPA 用作 ABAC 实现的示例，但我什么也没找到。

我的项目是一个 Web 应用程序，它允许最终用户创建资源并为其资源创建策略。我计划为最终用户创建一个 UI 来创建他们的策略。我的计划是抽象掉它的编码方面，而是为它们提供下拉菜单和按钮，这个 UI 将在幕后使用自定义语法，我将其解释为 OPA 策略。

我遇到的主要问题是如何将其作为 ABAC 来实现，它是否像构建将获取主题、对象和环境的属性并在它和 OPA 之间创建胶水的部分一样直接（本质上是创建一个 PIP ) 因为 OPA 本身似乎是事实上的 PEP 和 PDP？

我觉得我被文档淹没了，而且 OPA 自己的文档中似乎缺少很多来解释如何做到这一点。

我正在考虑将我的客户端应用程序从使用XACML 2.0授权服务迁移到使用更新的XACML 3.0服务.

在将客户端应用程序从生成XACML 2.0请求迁移到发出XACML 3.0请求时,我会遇到哪些更改或问题？

我正在研究各种类型的访问控制模型,并且知道abac和rbac是受欢迎的模型.

对于我的一个项目,我有一个基本的场景,我无法理解我应该选择RBAC还是ABAC.显然RBAC是ABAC我应该去的子集,ABAC但是ABAC需要一些经验才能在xacml中编写策略.我们正在使用WSOIS和APIM.

我的身份服务器(IS)中有管理员,所有者和成员角色.

• 管理员可以查看,删除和更新用户.
• 所有者可以查看和更新​​.
• 会员只能查看.

在某个时刻,我使用HTTP动词来实现愿望结果,即所有者无法访问DELETE请求,成员无法访问PUT&DELETE.

问题

我有一个仪表板,我在其中显示不同的部分,如最高用户,计费,服务,顶级消费者等.

1. 我需要nav-bar根据服务器的用户角色和属性进行填充,例如,成员不应该有权访问其他用户(添加,列表)nav-bar.nav-bar项目依赖于用户角色,以便我们可以通过RBAC？
2. 我们已经计划增加与OPS一样,营销的作用,支持等等.这是否意味着我们需要创建一个单独的DB-模式,以保持每个角色的访问权限？
3. 在仪表板中,我需要隐藏/显示用户,服务等中的视图,更新和删除按钮.现在,成员可以看到用户但无权更新或删除它们.无法查看统计信息,结算和其他私人信息.
4. 所有者可以查看与其部门/组织相关的所有用户,但管理员可以查看所有部门/组织的所有用户.在这里,我们需要为所有消费者使用相同的API,但api对不同的角色应该有不同的响应.角色可以是10s和100s,因此ee不能为每个角色创建不同的api.

题

我们可以实现所有这些场景,RBAC但是为了管理nav-bar和查看相关的实现,我们需要在服务器中添加业务逻辑而不是使用WSO2-IS和WSO2-APIM.有没有办法管理隐藏/显示按钮和部分等视图权限,甚至消费相同,API但它应该为不同的api消费者返回不同的结果.

是否有可用的开源集中授权服务？有许多集中认证信息的解决方案(例如:CAS和JOSSO),但授权信息呢？

有一些非常好的授权框架(例如:Spring Security(以前称为Acegi)和Seam Security),但似乎我必须将它们组合成单独的层或服务.换句话说,我不能很容易地独立运行它们.使用SOA,似乎非常有价值,不仅集中了身份验证,还集中了授权信息(即:角色,权限,规则等).

有什么建议？

我是XACML世界的新手.我已经阅读了一些关于v3.0标准的JSON和REST配置文件的文档,但我能找到的所有内容都与XACML请求和响应有关,而与策略无关(这是我感兴趣的部分).

是否有任何关于如何使用JSON配置文件而不是传统XML格式定义XACML策略的文档？

我有一个C#.net应用程序,它为公司的内部用户和外部客户提供服务.我需要做一些细粒度的授权,比如访问哪些资源.所以我需要基于资源或基于属性的东西,而不是基于角色的授权.

我想到的是:

1. 为我的.net应用程序实现自己的授权机制和sql表
2. 使用/实现标准机制,如已实施XACML的软件(例如Axiomatics)

第一种方法的问题在于它不是集中式的,也不是标准的,因此其他系统不能将其用于授权.

第二种方法的问题是它可能更慢(由于每个资源需要额外的调用).此外,我不确定市场上的应用程序如何支持像XACML这样的标准授权,以便于将来的集成.

那么,一般来说,对于应该为内部用户和外部客户提供服务的Web应用程序进行细粒度授权的良好实践是什么？

我希望存储权利的概念证明.我知道有不同的访问控制方式(DAC,MAC,RBAC,..).我的第一个想法是使用数据库,但我正在寻找一些像XACML这样的更成熟的标准,但遗憾的是我还没有找到一些真正的替代品.感谢任何tipps!

人们如何在运行报告时使用abac方法,甚至只是从数据库中选择多个记录？

例如,如果您有一个政策规定:

医生只能在医院看病人

显然,实现它的有效方法是在查询(where hospital = XXX)中包含一个过滤器,但这似乎与ABAC的主体打破,因为它将规则引入SQL本身.

我知道公理化提供,显然基于rules--为你过滤器反向查询机制,但我的系统有很多复杂的SQL,将不得不重构相当多与此有关的工作.

其他人如何处理这个问题？