次のシナリオがあります。
ビジネス ワークフローでは、さまざまな議論に関する多くの決定を行う必要があります。
例: 最初にユーザーの役割を確認し、次にいくつかのビジネス ロジックを実行し、次にビジネス権限を確認します。
私の質問は:
PDP には、その引数ごとに多くのポリシーがあると仮定すると、
PEP は、すべての属性 (ユーザー ロール、ビジネス属性、ecc など) を含む単一の (大きな) xacml リクエストを PDP に送信する必要がありますか?
また
PEP は、1 種類の属性のみを含む複数の (短い) xacml 要求を PDP に実行する必要があります (例: ユーザー ロールを含む最初の呼び出し、ビジネス属性を含む 2 番目の呼び出しなど)。
ありがとうございました
PEP は、PDP がどのように構成されているかは言うまでもなく、いくつのポリシーを持っているかを決して認識すべきではありません。さらに、承認の質問ごとに 1 つのリクエストが必要です。複数のユースケースがある場合
次に、4 つの独立した XACML リクエストを実行する必要があります。1 XACML リクエスト = 1 認可リクエスト. 膨大な数の属性を持つ単一の XACML リクエストを作成した場合、実際には 4 つの個別の質問をするのではなく、提供された属性のいずれかが Permit をトリガーした場合に許可される可能性がある奇妙な組み合わせになります (もちろん、すべてが依存します)。あなたが持っているポリシーと組み合わせアルゴリズムについて)。
ラウンドトリップ時間 (トランスポート コストなど) を節約するには、XACML (MDP) の複数決定プロファイルを使用して、一度に尋ねることができます。
Axiomatics Policy Server は、Multiple Decision Profile を実装します。リクエストの作成方法については、このブログ投稿を参照してください。
HTH、デビッド。