4

我正在处理分布式场景,其中我有多个 PEP 和 PDP 实例,在这种场景下,PDP 将如何验证 XACML 请求来自我信任的 PEP。

4

1 回答 1

2

可以有不同的方式来信任 PEP。规范中没有明确提及。但提到必须使用 SSL 和身份验证机制(例如 Basic/Digest 身份验证)。还有一个关于 PEP-PDP 通信的 SAML-XACML 配置文件。但我想,可以使用以下两种简单的方法。

  1. 使用 SSL 的基本身份验证。每个 PEP 都带有用户/密码。当 PEP 发送 XACML 请求时,必须在 Basic auth 标头中发送 User/Pass。PDP 可以通过处理基本身份验证标头来验证用户/通行证。所有 PDP 都可以连接到相同的凭证存储。

  2. 相互 SSL。(双向 SSL)。您可以实施 PDP 以支持相互 SSL。然后 PEP 必须通过交换证书来创建 SSL 会话。PEP 必须有自己的证书(私钥、公钥对)。要信任由 PDP 认证的 PEP,它们必须在 PDP 的信任库中。(或较少由受信任的 CA 签名)然后 PDP 可以信任 PEP 的证书。

于 2014-02-04T19:10:00.737 回答