問題タブ [abac]

すべてのユーザーには 1 つ以上の役割があり、すべての役割には 1 つ以上の権限があります。これまでのところ、ロールを介してユーザーに関連付けられているすべてのアクセス許可を収集できます。

問題

一部の権限には、いくつかの制約があります。例えば：

ユーザーは自分のサイトに属するすべての投稿を編集できますが、他の投稿は編集できません。

したがって、「投稿の編集」権限にはこの制約が必要です。

モデルに関して: 制約が権限に関連している場合、特定のユーザーに対してアクティブな制約を解決できません。

ユーザー モデルは「サイト」のような属性を持つことができますが、1 つのサイトに属するすべてのユーザーが上記の制約を持つ必要はありません。それらの一部は、すべての投稿を編集できる必要があります。

質問

特定のユーザーに対してアクティブな制約を判断する最善の方法は何ですか? これを個別のアクセス許可に分割し、制約をアクセス許可モデルに統合する必要がありますか、それともより良い解決策がありますか? 属性ベースのアクセス制御に出くわしましたが、まったく別のアプローチに切り替える必要があるかどうかわかりません

どんな助けでも大歓迎です:)

ABAC/XACML を実装する場合、仕様では、要求を PDP にルーティングする PEP を使用して機密データの要求をインターセプトする必要があることが示されています (PEP には、PDP を呼び出す際のサブジェクト、環境、リソース、およびアクションに関する属性が含まれます)。

次に、PDP は、アクセスの決定のためにどのルールを評価する必要があるかを判断します。

ウィキペディアから: https://en.wikipedia.org/wiki/XACML

XACML はターゲット [5] を提供します。これは基本的に、ポリシー セット、ポリシー、またはルールが特定のリクエストに適用されるために満たす必要があるサブジェクト、リソース、およびアクションの単純化された条件のセットです。ポリシーまたはポリシー セットが特定の要求に適用されることが判明すると、そのルールが評価され、アクセスの決定と応答が決定されます。

ポリシー セット、ポリシー、およびルールのすべてにターゲット要素を含めることができます。

PDP が PIP のどのルールを適用できるかを決定する方法は実装固有であることは理解していますが、これはプロセスの非常に重要な部分のように思えます。たとえば、ルールを見逃すと、リクエストを適切に評価できなくなります。人々はこれをどのように実装しましたか? 何が機能し、何が機能していないか? (私はしぶしぶ EAV っぽいテーブルに対するルックアップに傾いています。)

タイム ウィンドウ ベースの決定の処理に関する XACML バージョン 3 の PDP プロセスの決定、特に仕様の一部であるタイム ゾーン フィールドのサポートとどのように連携するかについて、いくつかの洞察を得たいと思います。

ポリシーについては、HH:MM:SS-Tz:00 のような時間イベントを定義するために使用します。

例として、現在 UTC -4 時間に東部夏時間 (EDT) で稼働しているニューヨーク市のデータセンターについて話すことができますが、UTC -7 時間に西海岸のサンフランシスコ地域に顧客が存在します。 DST 調整も使用します。さらに、夏時間のない UTC-3 にサンパウロからのアクセスが見られるかもしれません。

各場所の営業時間中のすべてのサービス提供をカバーするために、許可されたアクセス ウィンドウを定義する方法は? UTC (+00:00) で宣言する必要がありますか、またはポリシー処理中に PDP が必要な変換を行う必要がありますか (たとえば、18:00:00-07:00 (サンフランシスコでの 1 日の終わり))。 01:00:00 UTC をサービス配信の最終制限とし、ニューヨークに戻すと 21:00:00-04:00 になります。

リクエストは現地時間で生成され、現地時間も参照すると思います。

中央の時間ベースの決定を XACML PDP の下にプッシュできますか、それとも、サンフランシスコ、サンパウロ、ニューヨーク？しかし、同様の懸念は、時間の一部を示すアジアのタイム ゾーンのサポートに関するものです。XACML での時間計算に関する疑問を明確にするドキュメントはありますか?

タイム ウィンドウ決定のサンプル ルール

wso2 を使用して xaml の学習を開始したばかりで、このサンプルポストを実行しましたが、問題なく動作しています。私の質問は、wso2as の代わりに、Tomcat を使用して war ファイルをデプロイする場合、保護されたページを保護する方法です。

ありがとうございました

パブリックにホストされている一部の API の承認を実装する必要があります。外部エンティティは、認証と承認後に API を使用することが許可されます。基本認証を使用して認証を実行します。承認は役割ベースであり、複数のレベルで行う必要があります。

1. 特定されたユーザーが system_user ロールを持っている場合は、API アクセスを許可する
2. 識別されたユーザーが system_user ロールを持っていない場合は、データベースでどのデバイス (どのユーザーからアクセスしようとしているか) にマップされているアカウントを見つけます。アカウントが特定されたら、そのアカウントがユーザーに属しており、ユーザーがこのアカウントに対して正しいロールを持っているかどうかを調べます。

このロジックを実装する 1 つの方法は、データベースとコードを使用して独自のものをすべて作成することです。しかし、それを行う前に、XACML のようないくつかのルールを介してこのロジックを実装するのに役立つツールがあるかどうかを知りたいです。

XACML 標準を読んでいて、この要素が表示されますが、ドキュメントは非常に技術的であり、これらの要素に関する例を見つけることができません。

要素CombinerParametersと要素CombinerParameterは XACML で何をしますか?

ありがとう。