問題タブ [xacml]

XACMLポリシーを使用していて、次のようなリソースターゲットを含むルールがあります。

このルールをのすべてのサブディレクトリに適用したいと思います/Mydirectory。ただし、リソースを使用してリクエストを評価すると/MyDirectory/MySubdirectory、DECISION_NOT_APPLICABLE (3）応答が返されます。

単一のディレクトリのすべてのサブディレクトリにルールを適用できるXQuery関数はありますか？

もともと、「許可された権限のセットが外部属性ストアにある場合に、サブジェクトに要求された権限へのアクセスを許可することを要求するポリシーをどのように作成しますか。ポリシーで外部の権限のセットを参照できますか？」2番目の質問は肯定的に回答されているので、「方法」に焦点を当てるために質問を少し修正しています。

誰かがxacmlポリシースニペット（または疑似xacml）を提供できますか？これは、ロール属性ID（リクエストによって提供されます）が別の属性ID（外部属性ストアによって管理される）によって識別されるロールのセット内にあることを要求します。

開始点を提供するために、以下はhttp://docs.oasis-open.org/xacml/2.0/XACML-2.0-OS-ALL.zipからの例です。この場合、役割はインラインです。

私はXACML（eXtensible Access Control Markup Language）に非常に慣れていません。私は、TSPM（XACMLを利用する商用製品）がいくつかのビジネスニーズに対して何ができるかを研究しています。

だから私はこの質問への答えを探していました：

特定のアプリケーションプロファイルを持つユーザーがアクセスする3つのリンクを持つWebサイトページがあると仮定します。いくつかのルールに従って、「リンク」を制限および管理するポリシーを作成することは可能ですか（たとえば、特定のプロファイルユーザーが3つではなく2つのリンクを表示できるのは深夜までです）。

主な問題は、XACMLアサーションのリソースが何であるかを理解できないことです。いくつかのドキュメントで、この定義を見つけました。

リソースとは、アクセスを制御できるものです。例には、XQueryモジュールやJavaメソッドが含まれます。

誰もが実際の例XACMLでより良い理解を助けることができますか？

皆さん、ありがとうございました！

誰かが私にポリシーファイルからopenSAML2apiを使用してXACMLObjectを構築する方法のアイデアを私に与えることができる良いチュートリアルのリンクを教えてもらえますか？ありがとう

私は実際に、XACML ポリシー ファイルを解析し、内部で定義されたポリシーを検出する必要があるプロジェクトに取り組んでいます。そのために、いくつかの API を見てきましたが、要求を構築する方法または応答を解析する方法について話します ( pdp ) 、だから私は誰かが助けることができるかどうか尋ねています (私は JAXB を使用してそれを行うことができることを知っていますが、どの情報を取得するかはわかりません) 事前に答えてくれてありがとう

クライアント アプリケーションを XACML 2.0 承認サービスの使用から新しい XACML 3.0 サービスの使用に移行することを検討しています。

クライアント アプリを XACML 2.0 リクエストから XACML 3.0 リクエストに移行する際に、どのような変更や問題が発生しますか?

会社の内部ユーザーと外部顧客の両方にサービスを提供する C# .net アプリケーションがあります。誰がどのリソースにアクセスするかなど、きめ細かい承認を行う必要があります。したがって、ロールベースの承認ではなく、リソースベースまたは属性ベースのようなものが必要です。

私の頭に浮かぶのは、次のいずれかです。

1. .net アプリケーション用に独自の承認メカニズムと SQL テーブルを実装する
2. XACML を実装したソフトウェアなどの標準メカニズムを使用/実装する (たとえば、Axiomatics)

最初の方法の問題点は、集中化も標準化もされていないため、他のシステムが認証に使用できないことです。

2 番目のアプローチの問題点は、(リソースごとに余分な呼び出しが必要なため) 遅くなる可能性があることです。また、将来の統合を容易にするために、市場のアプリケーションで XACML のような標準認証がどの程度サポートされているかもわかりません。

では、一般的に、内部ユーザーと外部顧客の両方にサービスを提供することになっている Web アプリケーションのきめの細かい承認の良い方法は何ですか?

カスタム PIP で IBM の Tivoli Security Policy Manager を使用しています (実装com.ibm.tscc.rtss.authz.api.IExternalFinder)。TIP コンソールから PIP を確認でき、ポリシーのパラメータに値を提供するように設定できます。ただし、承認リクエストの結果としてこれらのポリシーが評価されると、私の PIP は数分ごとに値を提供するように求められるだけです。その間、古い値が使用されます。

int counterこれを実証するために、私の PIP には、メソッドの呼び出し時に 1 ずつ増加する で構成される内部状態がありget*Attributesます。String私の PIP によって生成された単一のタイプ (環境) 属性は、 の値に応じて"even"またはを示します。私は、ユーザーが 1 回おきにアクセスを許可されることを期待していましたが、リクエストが次々に送信されるのが早すぎると、これは起こりません。"odd"counter % 2

TSPM が PIP からの結果をキャッシュしないようにする方法はありますか? これは TSPM または WebSphere のどこで構成されていますか?

Jodaを使用してすべてのXACMLデータ時間をサポートしようとしていますが、「P50DT4H4M3S」などの文字列から期間を解析するのに問題があります。問題は、ある時点でISOとW3Cが別れ、JodaがISOパスをサポートしていることだと思います。

いずれにせよ、ギャップを埋める簡単な方法はありますか。可能であれば、独自のパーサーを作成することは避けたいと思います。

私はjavax.xmlタイプを知っています。これは、Jodaを使用して避けたいと思っていたGregorianCalendarに基づくものを除いて、必要なことを実行しているようです。

XACML を使用して WCF サービスのセキュリティ保護に取り組んでいるリソース、参照、洞察、サンプル コードを探しています。はい、ググってみましたが、いいえ、あまり役に立ちません。このテーマに関する有用な情報が非常に不足しています。

共有できる次のいずれかが役立ちます。

1. XACML で WCF を保護する際に使用される基本的なワークフローの概要

2. WCF と組み合わせて使用​​される XACML ドキュメントの例

3. XACML を使用する場合の WCF 構成の例

基本的に、出発点として役立つものは何でも非常に役立ちます!