問題タブ [alfa]

Wso2 GUI で XACML ポリシーを作成しました。

同じために Basic Policy Editor を使用しました。次のパラメータを指定しました

ポリシーの場合 (最初のタブではリソース名のみを指定し、他のフィールドは空白のままにしました): リソース名: https://www.xyz.com/blabla/

(2 番目のタブ) ルール効果: 許可

ユーザーの : 役割はアーキテクトと同等です

アクション名: is equals 読み取り

したがって、ポリシーは次の条件で生成されます。

建築家

ここで、属性 ID は次のとおりです: AttributeId="http://wso2.org/claims/role"

今、Tryit ツールでこの poicy をテストしようとしているときに、GUI でパラメーターを渡して、ロールの次の属性 ID を持つ WSO2 から自動要求が生成されています。

AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"

また、ポリシーの属性 ID がテスト リクエストの属性 ID と一致しないため、継続的に中間応答が返されます。

いくつかのブログを読んで、リクエストの送信中に attributeId を一致させる必要があることを理解しました。

リクエストを手動で変更すると、正常に機能します。

ここでの質問は、同じ Wso2 ID サーバーから既にポリシーを作成しているのに、なぜ WSO2 ID サーバーが異なる属性 ID で要求を作成しているのかということです。同じエディターを使用して作成し、同じパラメーターでテストしている間は、両方を一致させる必要があると思います。

それとも、ここで何かが足りないのですか??

最初のレイヤーが常に次のような環境をチェックするように、階層化されたポリシーを作成したいと考えています。

• ユーザーが有効な IP アドレスを持っていることを確認し、
• 時刻が有効な時間枠と曜日内であることを確認する
• ユーザーのデバイスは有効なデバイスです

add下位層は、view、update、deleteなどの特定のリソースのセットに対してmedical records、insurance data、などの実際に要求されたアクションを処理しbank accountsます。

平易な英語では、ルールは次のようになります。

すべての環境ルールが許可を返す場合に許可するポリシー

• Rule1: [bag with ip-address ranges] の範囲内の IP アドレスを持つユーザーのみを許可する
• ルール 2: 月曜日から金曜日までのアクションの要求のみを許可する
• ルール 3: 午前 7 時から午後 22 時までのアクションの要求のみを許可する
• ルール 4: デスクトップまたはラップトップからのアクションの要求のみを許可する

これは、承認のための公理言語である ALFA を使用してどのように行うことができますか?

ALFA で4 つの目の原則を定義する方法が気に入っています。(公理)

例: 銀行の従業員が、顧客用に新しい口座を作成したいと考えています。彼はそれを作成し、すべてのクライアント情報と設定を入力できます。ただし、マネージャーが許可しない限り、このアカウントをアクティブ化できないようにする必要があります。

そのため、銀行の従業員が「口座を有効にする」ボタンを押すと、マネージャーが最初にこれを承認する必要があるというポリシーを適用する必要があります。私には義務のように聞こえますが、ポリシーでこれを強制するより良い方法はありますか?

誰かがこれを行う方法のALFAの例を教えてもらえますか?

私は XACML ポリシーを開発しており、sun.xaml ライブラリを使用しています。2 つの属性を比較したいと思います。1 つはサブジェクト用、もう 1 つはリソースへのアクセスを許可するためのリソースです。

この XACML ファイルを生成しました

問題は、リソースにレベル権限があり、サブジェクトのレベル権限とリソースのレベル権限を比較したいのですが、その方法がわかりません。

どうもありがとう

特定のリソースに対する特定のアクションの委任を許可する ALFA ポリシーを作成するにはどうすればよいですか? XACML では、これらは管理ポリシーと呼ばれます。

( http://docs.oasis-open.org/xacml/3.0/xacml-3.0-administration-v1-spec-en.htmlで説明されているとおり)

XACML (WSO2 PDP を使用) および PIP (必要な場合) を使用して、次のシナリオをカバーする方法。

中古車アプリケーションでは、特定の場所で、営業担当者が車の価格を表示および更新できます。自分に割り当てられた車のみを表示できます。

xamlの観点から、販売員ロールのポリシーを作成し、場所に基づいて特定のメニューを非表示にすることができます。

しかし、メソッドをどうするgetCarDetails(Object User){...}か?

UserIDここでは（販売員）に 基づいてリストを表示します。

xaml仕様でこれを設計するには?

これについての私の理解は次のとおりです。Spring-Securityを使用して、このメソッドの上に「営業担当者」の役割を追加できます。ただし、異なるロールの他のユーザーのみを制限します。そこから、ユーザーIDを使用して従来のアプリケーションに従ってデータベース呼び出しを使用し、車のリストを取得する必要があるか、xamlできめ細かいアクセスを取得する方法があるかについて混乱していますか?

アクセス制御を一元化したいプロジェクトに取り組んでいます。

次のような場合に、アクセス制御で粒度を使用する方法を理解できません。

医師は、自分に割り当てられた患者のみにアクセスできます。

現在、このような多くのユースケースと、次のような動的なケースがあります。

患者の詳細は会計部門には表示されませんが、医師は患者の状態を変更し、会計部門が利用できるようにします。

次に、この種の動的ランダム変更を処理する方法。

たとえば、2 つの条件を含む AND 関数を使用する XACML の違いは何ですか。1 つの条件は、1 ～ 6 の範囲の時間であり、日付が 2015 年 7 月 23 日に等しい

もう 1 つの XACML には 2 つのルールがあり、1 つのルールは 1 ～ 6 の範囲の時間であり、もう 1 つのルールは日付が 2015 年 7 月 23 日です。

つまり、彼らはどのように機能しますか？1 つ目は、許可効果を得るには AND 関数が真でなければなりません。2つ目はどうですか？これらの 2 つのルールのいずれかが true であるかどうかを確認して許可効果を与えるか、最初のルールのように両方のルールを true にする必要がありますか?