rbac - XACML プロファイルとは何ですか?

Question

XACML (eXtensible Access Control Markup Language) は初めてで、少し混乱しています。プロフィールの意味がわかりません。たとえば、RBAC または SAML プロファイルです。

それらの違いは何ですか？構造と要素は常に同じではありませんか？

助けてくれてありがとう

Answer 1

XACML プロファイルが指定するものは 2 つあります。特定の情報に使用する AttributeId と、ポリシーがとるべき特定の構造です。

XACML は主にその柔軟性により強力ですが、組織間でポリシーを交換する場合、この柔軟性は犠牲になります。たとえば、ある組織では識別子「login-id」を使用してユーザーのアカウント名を指定し、別の組織では「username」を使用する場合があります。プロファイルは、この属性の既知の識別子を定義できます。

構造を指定すると、上位レベルの管理インターフェイスがポリシーの上に構築されている場合に役立ちます。多くの場合、ポリシーから情報を抽出してユーザーに提示する必要があり、プロファイル内の構造を制限することで、期待される内容を文書化することができます。

プロファイルは、「XACML でこのユース ケースを実行する方法は次のとおりです」タイプのドキュメントとしても使用できます。これにより、顧客やベンダーがホイールを再実装する必要がなくなります。

Answer 2

XACMLで考慮すべきプロファイルには2つのタイプがあります。

1. XACMLを使用して、輸出管理、知的財産保護、役割ベースのアクセス制御などの明確に定義されたシナリオを表現する方法に関するベストプラクティスを定義するプロファイル。これらは、クレイグが言及しているプロファイルです。これらのプロファイルは、コアXACML 2.0/3.0言語以外のXACMLエンジンに代わって特別な技術的実装を必要としません。それらは、一連の共通属性、それらのID、それらの可能な値、および可能なポリシーでのそれらの使用を定義します。例として、ここのIP保護プロファイルを参照してください：http：//docs.oasis-open.org/xacml/3.0/ipc/xacml-3.0-ipc-v1-spec-cs-01-en.pdf。これらのプロファイルは、共通の要件を表現する相互運用可能な方法を定義することを目的としています。
2. XACML 2.0/3.0の技術的使用/範囲を拡張するプロファイル。このようなプロファイルには、使用するエンジンに代わって技術的な実装が必要です。このようなプロファイルには、XACMLのSAMLプロファイル、複数決定プロファイル、および管理委任プロファイルが含まれます。たとえば、複数決定プロファイルは、ポリシー実施ポイントが単一の全体的なXACML要求内で複数の許可要求を送信する方法を定義します。これらのプロファイルは、XACMLの技術的範囲を拡大することを目的としています。

デビッド、これがお役に立てば幸いです。