問題タブ [abac]

入力フィールド「リソース」に基づいて、特定のポリシーが適用可能かどうかを定義するターゲットを使用して一連のポリシーを順番に実行するために、ポリシー セットを追加したいと考えています。テストを開始するために、1 つのポリシーを含む単一の policySet を作成しました。

WSO2 PAP による評価が失敗し、「許可」を受け取ることを期待しているにもかかわらず、「適用不可」という結果が表示されます。

XML で作成された「clatest0」という名前のポリシーは次のとおりです。

ここでは、XML で作成された cfapolicyset1 という名前の PolicySet を示します。

PAP の下で WSO2 "Try-It" ツールによって生成された要求の下:

決定事項: NotApplicable

PolicySet にリクエストを送信するために使用する方法に何か見落としがありますか? WSO2 高レベル ポリシー エディターを使用すると、応答で同じエラーが発生します。PAP の「Try-It」ツールで分離されたポリシーをテストすると、正しい値が表示されます。このポリシーの値は「Permit」です。

例を使用して私の問題を説明しましょう -

ルート ロケーション Mumbai (ロケーション階層のルート要素) と 2 つの子 Andheri と Bandra があるとします。

私にはマネージャーと工場エンジニアの 2 つの役割があります。マネージャーはムンバイの下にあるすべての場所にアクセスでき、プラント エンジニアはルート要素 (ムンバイ) の子レベルのアクセス権があります。

私には、従業員「A」がマネージャー、従業員「B」、「C」、「D」の 4 人の従業員がプラント エンジニアとして勤務しています。

「B」、「C」、および「D」はプラント エンジニアであるため、3 つすべてが Andheri および Bandra レベルの場所にアクセスできますが、XACML ポリシーを通じて、プラント エンジニア「B」および「D」が特権を持つ必要があるという条件を適用したいと考えています。 Andheri の場所のみにアクセスするには、プラント エンジニア「C」には、Andheri と Bandra の両方の場所にアクセスする権限が必要です。

上記の条件を満たすことができる XACML ポリシーをどのように記述すればよいかわかりません。

wso2is-5.1.0 で与えられた XACML ポリシーの下にアップロードしようとしています。「ポリシーのアップロードに失敗しました。無効な資格ポリシーです。ポリシーは XACML スキーマに従って有効ではありません」というエラー メッセージが表示されます。XACML の何が問題なのかわかりません。コンソールで[2016-06-20 18:50:06,142] ERROR {org.wso2.carbon.identity.entitlement.EntitlementUtil} - ポリシーメッセージに無効な名前空間が見つかりました。

XACML ポリシーで NotApplicable 応答が返されるのはなぜですか? 私の XACML ポリシー、リクエスト、およびレスポンスを以下で見つけてください。私のポリシーでは、ユーザー名に一致するメイン ターゲット要素があります。テストには wso2is-5.1.0 を使用しています。

XACML ポリシー

XACML リクエスト

XACML レスポンス

WSO2 Identity Server 5.1.0 を使用しています。

Plant1->Area1->unit1 のようなロケーション階層があります。ここで、ユーザーが Plant1 の属性を持っている場合、unit1 (ツリー内の親のすべての子) にもアクセスできる必要があります。

これを XACML で指定できますか? DBに格納された階層があります。必要に応じて、階層要素のリストを属性のリストとして提供することもできます。

サンプルで説明されている問題: 以下に示すように、ユーザー bob に area2 へのアクセス権が付与されています。

プラント1

|--エリア1

|--エリア2

XACML ポリシーで Area2 の場所を指定します。ここで、area2 または unit2 の要求が来た場合は許可され、plant1、area1 または unit1 の要求が来た場合は拒否されます。

XACML ポリシーの構造が必要です。

2 つのバッグを文字列として連結する方法を知りたいのですが、それぞれに 1 つのデータ要素が含まれています。stringConcatenate 関数は文字列データ型のみを受け入れますが、PIP モジュールから返されるデータ値はバッグ型です。ALFA で利用できるストリングからバッグへの変換はありますか? バージョン 3 の仕様をスキャンすると、文字列に変換されたバッグの最初の要素を読み取るなどの逆関数が見つかりませんでした。XACML バージョン 3 と ALFA でこのデータ型調整を実行し、2 つのデータ値を連結するためのソリューションはありますか?

例：

私はjsp hibernateプロジェクトに取り組んでいます。プロジェクトに XACML ポリシーを実装したいと考えています。XACML ポリシーを構築して実装する方法を教えてください。

次のように定義された XACML 3.0 ポリシーがあります。

私の XACML リクエストは、値「Computer Engineering」を含む追加の AttributeId="group" で次のようになります。

PEP がNotApplicableを返すことを望んでいましたが、逆に次の応答を返します: with PERMIT 定義されたポリシー ルールには、ルール ターゲットとして「グループ」と呼ばれる属性が含まれていませんが、要求は値を持つ「グループ」属性を送信しています。 Computer Engineering」と、それもマッチと PERMIT 応答を返すことです。

足りないものはありますか？私はそれを理解できませんでした。現在、アプリケーションの PEP 実装としてBalanaを使用しています。