問題タブ [xacml2]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
xacml - XACML で複数のロールをアクティブ化できる場合にスコープ ロールを処理する方法
まず、ユーザーは同時に複数のロールを持つことができ、ロールにはスコープがあります。たとえば、1 人のユーザーに /scopeA/editor、/scopeA/programmer、/scopeB/editor の 3 つの役割があるとします。
/scopeA/editor はリソース /scopeA/post にアクセスできます /scopeA/programmer はリソース /scopeA/bug にアクセスできます
質問が来ます:
ポリシーを次のように宣言するにはどうすればよいですか: ロール バッグに "/XX/editor" という名前のロールがある場合、"XX == YY" の場合、対応するユーザーは "/YY/post" にアクセスできます。
ここで同様の質問を見つけ、問題を解決する方法を提案しましたが、複数のロール (ロール属性値がバッグ) になると、私の答えは正しくありません。ロール属性値はバッグなので、ロール属性値の最初の 2 つのスラッシュの間の部分だけを取得して、リソース属性の値と比較することはできません。
次に、これを行う高次のバッグ関数を見つけようとしました。「urn:oasis:names:tc:xacml:3.0:function:any-of」関数でこれを実行できますが、最初の「関数引数」はどうですかany-of関数?
これが私がすることです:any-of関数の最初の引数は「string-equal」であり、2番目の引数はリソースIDの最初の2つのスラッシュの間の部分を取得するために使用される関数であり、3番目の引数はバッグであるサブジェクトの属性値。
最初の 2 つのスラッシュの間の部分を取得する関数を定義するだけです。
私がやりたいことをするためのより良い方法はありますか?ご不明な点がございましたら、お知らせください。よろしくお願いします~~
authorization - XACML 3.0 の同じカテゴリの複数の属性
XACML 3.0 を学んでいて、ID が異なる 2 つの属性があるかどうかを尋ねたいのですが、同じカテゴリ (Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource") にある場合、これは同じカテゴリの 2 つの異なる属性として、または 1 つの属性を持つ 2 つの別個の要求として解釈されます。
ありがとうございました 。
authorization - なぜ PolicySet と Policy の両方が必要なのですか?
3.0 の仕様を読み、ここで質問がありました。
PolicySetとPolicyには、結合アルゴリズムなどの多くの類似点があることがわかりました。また、より多くのレベルに対応するために、PolicySetは自己完結型にすることもできます。もしそうなら、PolicySetとPolicyをPolicyという名前の単一の概念にマージし、 Policy に他のポリシーとルールを含めてみませんか?
更新:
Ruleといえば、実際にはRuleはPolicyとあまり違いはありませんが、 RuleにはConditionとEffectがあり、結合アルゴリズムがないことを除きます。私が今考えているのは、PolicySet 、 Policy 、 Ruleの 3 つの概念を 1 つの新しいPolicyに統合することです。このポリシーは自己完結型であり、条件と効果を持つことができます。結合アルゴリズムがIntermediateを返す場合は、独自のEffectを使用します。独自の条件の場合、ポリシー全体は適用されません要求に応えられません。個人的には、この 1 つの概念のモデルは、PolicySet、Policy、Rule よりも簡潔で明確だと思います。
たとえば、4 レベルのポリシーの場合 (大企業で 4 レベルのポリシーが必要な場合)、XACML は次のように表されます。
PolicySet -> PolicySet(s) -> Policy(s) -> Rule(s)
私の変更は次のとおりです。
Policy -> Policy(s) -> Policy(s) -> Policy(s)
XACML の2 レベルの PolicySet とレベルの Policy および Ruleと比較すると、単純な4 レベルのポリシーの方が明確であると思います。
xacml - XACML を使用して Obligation Expression で複数の属性値を返すにはどうすればよいですか?
Java アプリケーションで Balana とともに XACML 3.0 を使用しています。MY XML スキーマは次のように定義されています。
私のアプリケーションは、次のように XACML リクエストを PEP に送信します。
私のポリシールールには次のものがあります。
私の応答は次のとおりです。
これには、coPisEmail と coPisFullName の義務値は含まれません。また、これらの動的属性の値を取得する方法がわかりませんか? また、アプリケーションでこれらの値をどのように使用できますか? たとえば、すべての電子メールと氏名を含む 1 つの値のみを返すか、個別の値を個別の応答で返すか? ここで機能に何かが欠けていると思います:
authorization - XACML でのコンテキストの変更
コンテキスト ハンドラー (XACML 内) はコンテキストの変更をどのように検出しますか? コンテキスト ハンドラーの役割の 1 つは、元の要求を XACML の標準的な形式に変換することですが、コンテキストの変更にどのように対処するのでしょうか?