問題タブ [xacml]

XACML ポリシーを評価する方法の詳細を知っている人はいますか? 実際、以下のようなポリシーを書いたことがありますが、Trylt ツールで評価しようとすると、常に「不確定」で失敗しました。XACML ポリシーを作成するのはこれが初めてですが、何が問題なのかわかりません。お願いがあります。どうもありがとう！

そして、次のような Trylt ツールを使用して、次のようにポリシーを評価しました。

次のように常に失敗します:(IS でサンプル ポリシーを使用する場合にも同様に発生します) エラー メッセージは「不確定」です

私の環境は：ISのバージョンは4.1.0です

Maven プロジェクトを使用し、AbstractPIPAttributeFinder を実装して、exist-db データベースから属性値を取得するための WSO2 Identity Server 用の PIP を作成しました。

彼がデータベースから属性を正しく抽出するかどうか、どうすれば PIP をテストできますか?

私たちの Web アプリケーションは、春のセキュリティに基づいています。すでに SSO プロバイダー (CAS) を介した認証を処理しています

アプリの承認を処理する便利なソリューション (役割と前提条件) を見つけようとしています。

XACML について読みました。ただし、Spring-security フレームワーク内で実装および統合する実際の経験/例は見つかりませんでした。

誰でも経験がありますか？

ありがとう、レイ。

WSO2 で RBAC を構成することに少し疑問があります。

1. サポートされている階層的な役割は?
2. 異なる承認コンテキストに応じて、異なるロールをユーザーに関連付けることは可能ですか? つまり、DeptA ではユーザーはマネージャーの役​​割を持っているため特定のリソースにアクセスできますが、DeptB では通常の従業員の役割を持っているためアクセスできません。
3. RBAC は XACML ポリシーで実装できますか? 階層的な役割で使用できるサンプル ポリシーはありますか?

XPath 関数を含む次の XACML ポリシーを実行しようとしました。

しかし、私はそれを私の中にアップロードすることはできませんWSO2 identity server 4.5

サーバーから返されるメッセージは次のとおりです。

ポリシーのアップロードに失敗しました。サービス メソッド addPolicy の呼び出し中に例外が発生しました

問題を解決するのを手伝ってくれませんか

ポリシーをアップロードしようとしたときのログの内容です

util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908) java.lang.Thread.run(Thread.java:662) TID[-1234] [IS] [2013-11-17 15:58:10,640]エラー {org.wso2.carbon.ui.transports.fileupload.AbstractFileUploadExecutor} - ポリシーのアップロードに失敗しました。サービス メソッド addPolicy の呼び出し中に例外が発生しました

私の質問は、wso2 ID サーバー 4.5 (IS) とバラナの「スタンドアロン」の両方に当てはまります。

「XACML v3.0 Multiple Decision Profile Version 1.0」で規定されているように、IS (PDP への Web サービス インターフェイス) のエンタイトルメント サービスに送信された XACML 複数の要求を正常に処理しました。

Web でカスタムの「属性ファインダー」の例をいくつか見つけましたが、これらの例ではすべて、リソースではなくサブジェクトの属性 (サブジェクトの役割など) を取得します。私の使用例では、サブジェクトのすべての属性とリソース ID のリストを含む xacml リクエストを PDP に送信します。外部システム (データベースや Web サービスなど) からリソースの属性を取得する属性ファインダーを実装しました。最初の質問は、このアプローチは同じ理由で推奨されないのですか?

2 番目の質問は、リソースの数が増加した場合のこの AttributeFinder 実装のパフォーマンスに関するものです。

ポリシー定義で使用できるリソースの属性のリストを制限したとします。たとえば、少数の属性です。

org.wso2.balana.finder.AttributeFinderModule からのメソッド:

単一の属性の値を返す必要があります。そのため、ポリシーがリソースのより多くの属性を評価する場合、このメソッドは同じリソースに対してより多く呼び出されます。そのメソッドの最初の呼び出しでリソースのすべての属性を読み取り、そのデータを (たとえば、スレッドローカル変数に) 保存すると、同じリソースの異なる属性に対して外部システムを複数回呼び出すことを避けることができます。その後の呼び出し。

したがって、複数のリクエストがあり、リソースの属性に関するポリシーがそのリクエストに適用される場合、メソッドは同じリソースのすべての属性だけでなく、すべてのリソースに対してより多く呼び出されます。パフォーマンスを向上させるために、外部システムへの呼び出しの数を減らしたいので、メソッド「findAttribute」の最初の呼び出しで、すべてのリソースの属性 (または非常に大きなセットがある場合はサブセット) を読み取りたい）。そのためには、「findAttribute」メソッドで、リクエスト内のすべてのリソース ID のリストにアクセスする必要があります。属性ファインダーで受け取る EvaluationCtx は、複数の要求から構築されたセット内の 1 つにすぎません。フルセットは、メソッド org.wso2.balana.PDP.evaluate(EvaluationCtx) で周期的に処理され、メソッド "

たとえば、PDP クラスを拡張して、スレッド ローカル変数で EvaluationCtx の完全なセット (またはリソース ID のリスト) を公開することもできますが、これは wso2 ID サーバーではなく「バラナ スタンドアロン」で機能する可能性があります。何か案は？

ありがとうございました。ステファノ