問題タブ [xacml3]

balana の k-market サンプル ( http://svn.wso2.org/repos/wso2/trunk/commons/balana/modules/balana-samples/kmarket-trading-sample/ ) をチェックした後、同様のものを作成したいと思いました。サンプルプロジェクト。次の2つのクラスを作成しました。balana ソースは同じトランクからダウンロードされました。

と

上記のコードは機能するはずですが、SampleAttributeFinderModule が呼び出されることはなく、リクエストに指定された属性が含まれている場合にのみ評価が成功します。私のポリシーは次のとおりです。

どんな助けでも大歓迎です。バラナソースを見て、そのメソッドがどのように呼び出されるかを追跡した後、次のコードに出くわしたことに注意してください（プログラムを実行すると、これが呼び出されることを確認してください）。最初にリクエストから属性を取得しようとするように見えますが、属性がリクエストに含まれていない場合、最初の if は常に false と評価されるため (私が思うに)、モジュールを含む callHelper メソッドは呼び出されません。これは意図したものですか？

Obligations ステートメントの WSO2 Balana フレームワークが、"Permit" または "Deny" の条件のフルフィルオン引数のみを受け入れ、"Not applied" の結果を無視するのはなぜでしょうか。ポリシーのデバッグ プロセス。

Balana ObligationExpression.java のソースには、次のものがあります。

それについてのあなたの意見はどうですか、このロジックは正しく機能していますか?

XACML 3.0 を学んでいて、ID が異なる 2 つの属性があるかどうかを尋ねたいのですが、同じカテゴリ (Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource") にある場合、これは同じカテゴリの 2 つの異なる属性として、または 1 つの属性を持つ 2 つの別個の要求として解釈されます。

ありがとうございました 。

WSO2 XML エディタ内の XACML バージョン 3 構文バリデータに問題があり、ステートメントの挿入が拒否されます。単一の属性チェックの代わりに属性リストを追加する予定です。以下は、XACML 構文バリデータによって拒否されたステートメントの出力です。

「string-bag」を使用したこの単純な条件は、スキーマ エラーをスローしています。

表示されるエラー メッセージは次のとおりです。

「or」論理演算子を使用したこの条件は正常に機能しています。

上記のように、条件を説明するステートメントは、そのルールの最後のセクションとして の直前に挿入されます。

WSO2 PAP は属性リストの使用をサポートしていますか? はいの場合、このエラーは構文構造のエラーで説明できますか?

XACML V3 構文準拠に関する同様の問題をデバッグするのに役立つユーティリティ ツールである、Web で公開されている構文およびスキーマ バリデータを探します。

3.0 の仕様を読み、ここで質問がありました。

PolicySetとPolicyには、結合アルゴリズムなどの多くの類似点があることがわかりました。また、より多くのレベルに対応するために、PolicySetは自己完結型にすることもできます。もしそうなら、PolicySetとPolicyをPolicyという名前の単一の概念にマージし、 Policy に他のポリシーとルールを含めてみませんか?

更新：

Ruleといえば、実際にはRuleはPolicyとあまり違いはありませんが、 RuleにはConditionとEffectがあり、結合アルゴリズムがないことを除きます。私が今考えているのは、PolicySet 、 Policy 、 Ruleの 3 つの概念を 1 つの新しいPolicyに統合することです。このポリシーは自己完結型であり、条件と効果を持つことができます。結合アルゴリズムがIntermediateを返す場合は、独自のEffectを使用します。独自の条件の場合、ポリシー全体は適用されません要求に応えられません。個人的には、この 1 つの概念のモデルは、PolicySet、Policy、Rule よりも簡潔で明確だと思います。

たとえば、4 レベルのポリシーの場合 (大企業で 4 レベルのポリシーが必要な場合)、XACML は次のように表されます。

PolicySet -> PolicySet(s) -> Policy(s) -> Rule(s)

私の変更は次のとおりです。

Policy -> Policy(s) -> Policy(s) -> Policy(s)

XACML の2 レベルの PolicySet とレベルの Policy および Ruleと比較すると、単純な4 レベルのポリシーの方が明確であると思います。

私は現在、Administrative Delegation Profile and Obligation with Attribute-Based Access Control (ABAC) と呼ばれる XACML 3.0 の新機能に関する調査を行っています。このドメインについてさらに調査を行うための良い読み物とリソースを提供してくれる人はいますか? また、Java を使用して Web アプリケーションにこれらの概念を実装することを計画している場合、今後の長所と短所は何であり、それらの証拠をどのように組み込むことができますか?コンセプト？

現在、Balanaをバックエンド セキュリティ フレームワークとして使用してリクエスト/レスポンスを解析していますが、これは明らかに委任をサポートしていないように見えるため、使用するのに最適なフレームワークは何でしょうか。または、自分でやりたい場合は、何ができるか、現在の実装でどのような変更を加える必要があるか。