XACMLと外部認証に関する調査を開始しました。現在、RBACモデルを利用する既存のアプリケーションがあります。ただし、実装には多くの欠点があります(役割を簡単に定義することはできず、役割の粒度が粗すぎます)。
XACMLは検討するのに良い代替手段ですか?RBACオリジンからXACMLに切り替えた既存のアプリケーションはありますか?欠点はありますか?
3 に答える
6
免責事項: 私は IBM の開発者であり、XACML を広く使用する製品 (Tivoli Security Policy Manager) に取り組んでいます。私はXACMLに少し偏っています。
XACML は、ほぼすべてのセキュリティ モデルをサポートできるため、優れた代替手段だと思います。既存の RBAC ソリューションを XACML でモデル化し (プロファイルを参照)、それを拡張して、ビジネス要件が要求するきめ細かなアクセス制御を含めることをお勧めします。
認証コードをポリシーに外部化すると、再コンパイルせずにアプリケーションのセキュリティ モデルを変更できるという利点が追加されます。
RBAC オリジンから XACML に切り替えた既存のアプリケーションはありますか?
残念ながら、私は特定の例を認識していません。少なくとも、公に話すことができるものです。認証モジュールの実装に 1 か月を割り当てた内部 IBM プロジェクトがありますが、XACML 実装を使用してそれを外部化することで 1 週間で完了しました。これは「グリーン フィールド」開発プロジェクトであったため、明らかに例とは異なりますが、検討している一般的なアプローチにはメリットがあることを強調しています。
于 2009-10-29T00:18:43.963 に答える
2
I am the security architect at WSO2 - which develops WSO2 Identity Server, an open source Identity and Entitlement management server, with XACML suport.
I too believe XACML is a good alternative to externalize authorization logic from the application code. We recently worked with few customers [one of them is among Fortune 100] - moving to XACML from different proprietary authorization rules.
于 2011-08-25T17:55:16.350 に答える
0
IBM と WS02 のそれぞれの対応者に同意します。私はAxiomaticsで働いています。私たちは、XACML に基づく承認のみに焦点を当てています。
RBAC から ABAC に移行したお客様がいます。XACML の RBAC プロファイルを中間ステップとして使用することにした人もいます (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html)。興味深いのは、既存の RBAC インフラストラクチャを使用して、その上に ABAC を構築できることです。
まだ欠点は見られません。どちらかといえば、顧客は XACML の ROI をすぐに確認できます。XACML の方が安価で柔軟性があります。複数の実装を使用でき (IBM、WS02、および Axiomatics を組み合わせても機能します)、業界からの強力なサポートがあります。
詳細については、XACML TC ページをご覧ください: http://www.oasis-open.org/committees/xacml/
于 2011-11-03T14:51:29.200 に答える