1

タイム ウィンドウ ベースの決定の処理に関する XACML バージョン 3 の PDP プロセスの決定、特に仕様の一部であるタイム ゾーン フィールドのサポートとどのように連携するかについて、いくつかの洞察を得たいと思います。

ポリシーについては、HH:MM:SS-Tz:00 のような時間イベントを定義するために使用します。

例として、現在 UTC -4 時間に東部夏時間 (EDT) で稼働しているニューヨーク市のデータセンターについて話すことができますが、UTC -7 時間に西海岸のサンフランシスコ地域に顧客が存在します。 DST 調整も使用します。さらに、夏時間のない UTC-3 にサンパウロからのアクセスが見られるかもしれません。

各場所の営業時間中のすべてのサービス提供をカバーするために、許可されたアクセス ウィンドウを定義する方法は? UTC (+00:00) で宣言する必要がありますか、またはポリシー処理中に PDP が必要な変換を行う必要がありますか (たとえば、18:00:00-07:00 (サンフランシスコでの 1 日の終わり))。 01:00:00 UTC をサービス配信の最終制限とし、ニューヨークに戻すと 21:00:00-04:00 になります。

リクエストは現地時間で生成され、現地時間も参照すると思います。

中央の時間ベースの決定を XACML PDP の下にプッシュできますか、それとも、サンフランシスコ、サンパウロ、ニューヨーク?しかし、同様の懸念は、時間の一部を示すアジアのタイム ゾーンのサポートに関するものです。XACML での時間計算に関する疑問を明確にするドキュメントはありますか?

タイム ウィンドウ決定のサンプル ルール

                    <Rule Effect="Deny" RuleId="DenyOutsideOfficeHours">
                           <Target></Target>
                           <Condition>
                              <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:not">
                                 <Apply FunctionId="urn:oasis:names:tc:xacml:2.0:function:time-in-range">
                                    <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:time-one-and-only">
                                       <AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:environment:current-time" DataType="http://www.w3.org/2001/XMLSchema#time" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:environment" MustBePresent="false"></AttributeDesignator>
                                    </Apply>
                                    <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:time-one-and-only">
                                       <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:time-bag">
                                          <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#time">08:00:00-03:00</AttributeValue>
                                       </Apply>
                                    </Apply>
                                    <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:time-one-and-only">
                                       <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:time-bag">
                                          <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#time">18:00:00-03:00</AttributeValue>
                                       </Apply>
                                    </Apply>
                                 </Apply>
                              </Apply>
                           </Condition>
                           <ObligationExpressions>
                              <ObligationExpression ObligationId="obligation.displayAttributes" FulfillOn="Deny">
                                 <AttributeAssignmentExpression AttributeId="urn:oasis:names:tc:xacml:3.0:example:attribute:text" Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject">
                                    <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">access to resource is limited to office hours between 08:00 to 18:00 GMT-3</AttributeValue>
                                 </AttributeAssignmentExpression>
                              </ObligationExpression>
                           </ObligationExpressions>
                        </Rule>
4

1 に答える 1