問題タブ [abac]

リクエスタとポリシー所有者が同じ部屋にいる場合 (ここでは場所は動的属性です)、リクエスタはリソースへのアクセス権を取得します。XACML ポリシーにどのように記述できますか?

Spring Security または Apache Shiro フレームワークと連携する属性ベースのアクセス制御 (ABAC) パラダイムのオープンソースまたは商用実装を見つけようとしています。今のところ、それらのどれも見つかりません。私はそのような機能を必要とする最初の人ではないと思います。これをサポートするフレームワークをお勧めしてもらえますか?

また、Apache Shiro のアクセス許可は、ABAC パラダイム実装の特定のケースと見なすことができますか?

(ポリシーの適用条件で使用するために) balana 内にカスタム関数をインストールしようとする多くの作業の後、ここで質問しようとしています。基本的に、バラナエンジン内に新しい機能をインストールすることについてドキュメントが教えてくれるものは次のとおりです。1）構成に次のようなものを挿入します：

もちろん、そのクラスを実装します

確かに getsupportedidentifiers をオーバーライドすることは必須ではありませんが、何でも..

balana を開始すると、クラスが初期化され、コンストラクターが呼び出されます。その後、バラナが初期化された後でも、次のことができます。

関数がロードされ、準備ができていることがわかります。良い。いいえ、失敗します。多くのデバッグ メッセージを含む独自のカスタム balana コア ビルドを使用してデバッグした後、Apply 要素が 1 つのポリシーでランタイムを解決し、Apply.getInstance( が呼び出され、ファクトリがそのファクトリで関数名とともに渡されることが明確にわかります。 There is not your function, so all you get it's a exception runtime with "Unknown FunctionId". 次のように、関数ファクトリを手動でインストールしようとさえしました。

繰り返しますが、このプロキシ内で関数を見ることができますが、結局のところ、実行時にエンジンが解決するときに

例外はありません。不明な FunctionId です。明らかに私は何かを見逃しています。内部でカスタム関数の実用的な例を達成し、要素を適用できる人を尋ねています。みんなありがとう。

評価で使用される属性 (環境など) に応じて、XACML 応答で返される文字列Adviceまたは文字列を動的に生成する方法はありますか?Obligation

たとえば、ロジックを実装する拡張機能を使用します。

私はリソースのセットを持っています。各リソースには、セキュリティ ルールの組み合わせである独自のセキュリティ ポリシーがあります。

XACML でこれらのポリシーを作成するには、何を使用できますか: 要素Policyまたは要素PolicySet?

例えば ​​：

• rule1: resource1 を読み取るには、ユーザーは管理者の役割を持っている必要があります
• ルール 2: リソース 2 に書き込むには、ユーザーはドメイン @yahoo.com からの電子メール アドレスを持っている必要があります。
• ルール 3: リソース 3 を読み取るには、ユーザーはセント ジョージ病院に所属している必要があります。
• ルール 4: リソース 1 に書き込むには、ユーザーが看護師の役割を持っている必要があります。

その場合、リソース 1 用にポリシー要素を作成し、リソース 2 用に別のポリシー要素を作成する必要があります。これらはすべて PolicySet 要素の下にありますか? または、そのセキュリティ ルール 1 と 2 などの下にポリシー要素を作成する必要がありますか?

アクセス制御要求を評価するのにかかった正確な時間を WSO2 を使用して XACML PDP パフォーマンスを測定するにはどうすればよいですか? Apache Jmeter を使用してそれを行うことは可能ですか?

gitからダウンロードした balana を使用しています。ポリシーの文字列バッグがリクエスト内の一致する属性のサブセットである場合にのみ許可するポリシー ルールに取り組んでいます。例えば。リクエストには attributes が含まれて"letter=a, letter=b"おり、ポリシーは string-subset を使用して、リクエストの一連の文字属性を string-bag と比較します。サブセットの両方の順序 (サブセット文字 stringbag とサブセット stringbag 文字) を試しましPermitたが、テスト要求が " " になるはずのときに、どちらも " "で返されDenyます。

サンプル ポリシー

そして、私はテストのためにこのリクエストを渡しています:

リクエスト

だから、私の考えは（否定を伝える方法がわからないので）

• 条件の否定的な一致を効果の否定に暗黙的に関連付けます。

それが正しい場合、私の直感では、OK である一致するサブセットは「許可する」と言うべきですが、条件に一致しない場合は代わりに「拒否する」と言うでしょう。

ターゲットステートメントがないため、私の直感では、すべてのリクエストでその条件を評価しようとする「べき」であり、条件に一致しないことでルールの評価がスキップされることはありません。

いずれにせよ、サンプルを見て、「私のポリシーは A,B を取りますが、あなたは A,B,C を持っているので、私はあなたを否定しなければなりません」と言いたいのです。残念ながら、それはそれが行っていることではありません。その理由はわかりません。助けてください。x_x

JAVA MVC アプリケーションを使用して、Wso2 ID サーバーの XACML ベースのアクセス制御を実装しようとしています。

ユース ケース: ユーザーがログインして、XACML ポリシーで定義された選択したページ/メニュー (およびこれらのページのアクション (表示、投稿、削除など) も) のみを表示します。

WSO2 IS XACML で確認したことは、特定のリソースに対して Permit/Deny/NotApplicable を返します。

したがって、このユースケースのソリューションが Wso2 IS XACML とその方法で可能であることを知りたいだけです。

助けてください。

ありがとう