問題タブ [xacml3]

次のようないくつかのポリシーを宣言したいと思います。

この種のポリシーの書き方。

「XACML3.0コア仕様」、「マルチプロファイル」に目を通したところ、

これは、ポリシー ファイルで、最初に言ったように AttributeValue で XPath を使用して複数のリソースを参照できないことを意味していると思いますよね？リクエストは、指定された属性 ID を持つリソースを要求する個々のリクエストに解決されるためです。

私が見逃した、または誤解した仕様に何かありますか? または、誰かが私が望むことを行うためのより良い方法を提案できますか?

リソースで正規表現を使用してそれができるかどうか疑問に思っています。対応する機能は urn:oasis:names:tc:xacml:1.0:function:string-regexp-match.

PS: 私は自分の会社の認証サーバーをセットアップしようとしています。でも、私の周りには誰も知らない。アクセス制御システムの設定について何か提案をいただければ幸いです。

特定のリソースに対する特定のアクションの委任を許可する ALFA ポリシーを作成するにはどうすればよいですか? XACML では、これらは管理ポリシーと呼ばれます。

( http://docs.oasis-open.org/xacml/3.0/xacml-3.0-administration-v1-spec-en.htmlで説明されているとおり)

まず、ユーザーは同時に複数のロールを持つことができ、ロールにはスコープがあります。たとえば、1 人のユーザーに /scopeA/editor、/scopeA/programmer、/scopeB/editor の 3 つの役割があるとします。

/scopeA/editor はリソース /scopeA/post にアクセスできます /scopeA/programmer はリソース /scopeA/bug にアクセスできます

質問が来ます：

ポリシーを次のように宣言するにはどうすればよいですか: ロール バッグに "/XX/editor" という名前のロールがある場合、"XX == YY" の場合、対応するユーザーは "/YY/post" にアクセスできます。

ここで同様の質問を見つけ、問題を解決する方法を提案しましたが、複数のロール (ロール属性値がバッグ) になると、私の答えは正しくありません。ロール属性値はバッグなので、ロール属性値の最初の 2 つのスラッシュの間の部分だけを取得して、リソース属性の値と比較することはできません。

次に、これを行う高次のバッグ関数を見つけようとしました。「urn:oasis:names:tc:xacml:3.0:function:any-of」関数でこれを実行できますが、最初の「関数引数」はどうですかany-of関数？

これが私がすることです：any-of関数の最初の引数は「string-equal」であり、2番目の引数はリソースIDの最初の2つのスラッシュの間の部分を取得するために使用される関数であり、3番目の引数はバッグであるサブジェクトの属性値。

最初の 2 つのスラッシュの間の部分を取得する関数を定義するだけです。

私がやりたいことをするためのより良い方法はありますか？ご不明な点がございましたら、お知らせください。よろしくお願いします~~

XACML (WSO2 PDP を使用) および PIP (必要な場合) を使用して、次のシナリオをカバーする方法。

中古車アプリケーションでは、特定の場所で、営業担当者が車の価格を表示および更新できます。自分に割り当てられた車のみを表示できます。

xamlの観点から、販売員ロールのポリシーを作成し、場所に基づいて特定のメニューを非表示にすることができます。

しかし、メソッドをどうするgetCarDetails(Object User){...}か?

UserIDここでは（販売員）に 基づいてリストを表示します。

xaml仕様でこれを設計するには?

これについての私の理解は次のとおりです。Spring-Securityを使用して、このメソッドの上に「営業担当者」の役割を追加できます。ただし、異なるロールの他のユーザーのみを制限します。そこから、ユーザーIDを使用して従来のアプリケーションに従ってデータベース呼び出しを使用し、車のリストを取得する必要があるか、xamlできめ細かいアクセスを取得する方法があるかについて混乱していますか?

私は XACML の世界では初心者です。v3.0 標準の JSON および REST プロファイルに関するドキュメントをいくつか読みましたが、見つけることができるものはすべて XACML の要求と応答に関連しており、ポリシーではありません (これは私が興味を持っている部分です)。

従来の XML 形式の代わりに JSON プロファイルを使用して XACML ポリシーを定義する方法についてのドキュメントはありますか?

ファイルのようなリソースがあるとしましょう。誰が、いつ、どこで、個々のファイルにアクセスできるかは問題ではありません。独自の属性を持ち、他のファイル、ディレクトリ、および/またはその他のアイテムを含むディレクトリのようなリソースがあると仮定します。現在、ディレクトリへのアクセス権はあるが、一部のファイルまたはサブディレクトリへのアクセス権がない (名前/タイトルを表示することさえできない) ユーザーがいます。

ポリシーの決定がビジネス ロジックから分離されている場合に、ユーザーがアクセスできるファイルのみを含むようにディレクトリをフィルター処理する方法。各ファイルを個別にチェックする必要がありますか?

はいの場合、ディレクトリに 1,000 万個のファイルが含まれており、ユーザーがいくつかのファイルにしかアクセスできない場合、そのファイルを識別する方法は?

XACML の初心者です。XACML ポリシーと Wso2 ID サーバーを使用して、組織のアプリケーションに RBAC を実装する予定です。wso2 を使用してさまざまな XACML ポリシーを作成する方法に関する多くの記事を読んだことがあり、多くのポリシーの例も試しましたが、利用可能なすべての例を調べた後、XACML ポリシーセットを作成してポリシー セットを再利用する適切な方法が見つかりませんでした。自分で XACML PolicySet を作成しようとしましたが、wso2 Id サーバーでこのポリシーセットを実行しようとすると、毎回「適用外」エラーが表示されます。XACML ポリシーセットを別の方法で作成するために多くのことを試みますが、リクエストを作成するときそのため、適切な結果が得られません。XACML ポリシーセットとその要求の適切な例を挙げてください。

ここで、ポリシーセットとポリシーを追加し、それもリクエストです。何が間違っていたのか教えてください。

wso2Id で作成されたロールは :- testRole であり、このロールを testUser に割り当てます

PolicySet は:-

ポリシー

PolicySet リクエスト