問題タブ [xacml]

説明

first-applicableルール結合アルゴリズムに従って評価される複数のポリシーを含む複数の XACML ファイルを作成しました。

XACML でコードの重複を避けることができず、特定の XACML ポリシーを XACML ファイルのいくつかの場所にコピーする必要がある場合があります。

XACML でコードの重複を避けることはでき<import file="xacml/deny-policy.xacml"/>ますか?

クラウド認証コンテキスト内の属性ベースのアクセス制御とアクティビティ ベースのアクセス制御の違いは何ですか?

リンクに従って、XACML で SAML エンベロープを使用して pdp を実行しました。次に、Web サービス ( pdp および pdpclient - つまり XACML Request Generator ) を作成しました。ここでは、すべてが正常に実行されます。つまり、要求を生成し、指定された (次のリンクで指定されたテスト ポリシー) ポリシーで完璧な結果が得られます。

今、私は自分のポリシーで pdp をテストします!! しかし（私の観点では）pdpはポリシーを正しく評価していません。たとえば、ここに私のポリシーがあります

で、私のリクエストはこちら

Subject-Id: urn:oasis:names:tc:xacml:1.0:subject:outside-university、Subject-Value: スタッフ

Arttibute-Id: urn:oasis:names:tc:xacml:1.0:resource:file123、属性値: サーバー ファイル

アクション ID: urn:oasis:names:tc:xacml:1.0:action:delete123、アクション値: 削除

そして私が得る応答はDenyです。ご覧のとおりMustBePresent = true、Subject、Resource、および Policy-Target の Action と Request には、none の ID が含まれていません。XACML 2.0 によると、MustBePresent が true で ID がリクエストに存在しない場合、ターゲットは不確定になります。また、ターゲットがポリシー ターゲットの場合、ポリシー全体が不確定になります。ただし、この場合、不確定なポリシー ターゲットの後、PDP は引き続きルールを評価し、ルール結合アルゴリズムに従って結果を作成します。

私が間違っている場合はお知らせください。

私は XACML ドキュメントを調べ、XML ファイルで承認ポリシーを維持することについて説明しています。データベースにポリシーを維持することで同じことができます。私の質問は、DB アプローチよりも XACML のように XML ファイルにポリシーを保存する利点は何ですか?結局のところ、XML の解析またはデータベースのクエリを実行するだけです。

次のような承認用の XACML ファイルを作成しました。

私はバラナベースの検証を行っていますが、次のようなエラーが発生しています:

ただし、resource-id については既に説明しました。同じコードが balana テスト ポリシー ファイルで機能します。違いは、"policy" の代わりにポリシー セットを使用していることです。

XACML 2.0 ポリシーをプログラムで生成したいと考えています。それを行うか、XACML 3.0 ポリシーのグループを XACML 2.0 ポリシーに変換する方法はありますか?

ありがとう