我试图扩展 Wilma PEP 代理 GE 以支持安全级别 3:xacml 授权。
我已经在 PEP 代理中实现了必要的修改,以支持这种级别的授权,但是我在通过基于 OpenStack Horizon 分支的 IdM 接口配置 XACML 权限时遇到了问题。据我所知,xacml 策略是在 IdM 数据库中创建的,但不是在相应的 AuthZForce 域中创建的。事实上,在 xacml 权限创建测试之后,与同一应用程序关联的任何 2 级权限都不会与 AuthZForce 同步。
经过一番研究,事情变得更加复杂。据我所知,AuthZForce 中的每个域都有一个 PolicySet 根。特别是,此 PolicySet 已将所有用户角色(除提供者和购买者之外的应用程序角色)及其相关权限映射到 XACML。事实上,XACML 策略支持安全级别 2(基本授权)。
所以我的问题是:
1) 为什么我的 xacml 策略没有与 Authzforce 同步?可能是 IdM 中的问题?
2) 我的 XACML 3 级权限应该如何显示,如果那么它将与我的应用程序中其他角色的 2 级权限相关联的 xacml 策略相结合,然后在相应的 AuthZForce 域中发布它们?
建议?
我正在使用每个 GE 的以下版本:
- IdM GE:v5.4.0
- AuthZForce GE:发布 5.4.1
- PEP 代理威尔玛:5.4