0

我想采用 FIWARE 作为我们物联网平台的一部分。除了 Orion Context Broker 之外,我还想使用 keyrock / wilma / AuthzForce 进行身份验证和授权。

我通过阅读“一步一步”和其他文档了解到物联网平台上有多个用户,并且可以单独控制对资源的访问。

我想显示用户在登录我们的 IoT 应用程序后可以访问的所有资源(它等于传感器)的列表。但是,我提到了 keyrock 和 AuthzForce API,但我认为没有这样的 API。FIWARE 中没有获取用户资源(传感器)关系列表的 API 吗?

4

1 回答 1

0

FIWARE 没有紧密绑定到单个安全堆栈。“循序渐进”教程使用 Keyrock 和 Wilma 作为说明性示例,但您也可以轻松使用替代身份管理器,例如 Keycloak 或 Keystone - IDM 的角色很重要。

鉴于FIWARE 目录中的每个组件都是一个微服务,它们旨在完成一项工作而不是混合关注点,因此您需要进行以下设置 - 将角色和权限保留在 IDM 中,将静态数据添加到您的实体以进行描述实体是什么以及谁“拥有”它们。

基本认证

对于每个登录用户都能够查看您的传感器的基本身份验证,这很容易:

  • IDM 持有用户、角色和权限。
  • 设备由 IoT 代理配置 - 这会在上下文代理中创建实体。使用静态属性sensor,例如便于查询(设备模型建议类别:
"static_attributes": [
    {"name": "category", "type":"Text", "value": ["sensor"]}
]

这将使客户端能够进行查询/entities?q=category=="sensor"&type=Device以获取传感器类别中的所有设备

如果所有登录用户都可以访问所有传感器,您只需在上下文代理前面放置一个 PEP 代理,该代理拒绝所有未经身份验证的请求(即那些没有承载令牌的请求)并通过那些已登录的请求。

基本授权

对于 登录用户能够查看他们拥有的传感器的基本授权,它有点复杂,您需要设置权限以允许角色访问:/entities?q=category=="sensor"&type=Device&owner==XXX同时拒绝更广泛的查询,例如/entities?type=device- 然后您可以添加额外的静态数据到配置时的设备:

"static_attributes": [
    {"name": "category", "type":"Text", "value": ["sensor"]}
    {"name": "owner", "type":"Text", "value": "XXX"}
]

高级授权

对于高级授权,它会更加复杂,您的 Authzforce PDP 需要遵守以下规则:

<Rule RuleId="xxxxx-xxxx-0000-0000-000000000000" Effect="Permit">
  <Description>Query Devices</Description>
  <Target>
    <AnyOf>
      <AllOf>
        <Match MatchId="urn:oasis:names:tc:xacml:3.0:function:string-equals">
          <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">/entities?q=category=="sensor"&type=Device&owner==XXX</AttributeValue>
          <AttributeDesignator Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource" AttributeId="urn:thales:xacml:2.0:resource:sub-resource-id" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true" />
        </Match>
      </AllOf>
    </AnyOf>
    <AnyOf>
      <AllOf>
        <Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
          <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">GET</AttributeValue>
          <AttributeDesignator Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action" AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true" />
        </Match>
      </AllOf>
    </AnyOf>
  </Target>
  <Condition>
    <Apply FunctionId="urn:oasis:names:tc:xacml:3.0:function:any-of">
      <Function FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-equal" />
      <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">security-role-0000-0000-000000000000</AttributeValue>
      <AttributeDesignator Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject" AttributeId="urn:oasis:names:tc:xacml:2.0:subject:role" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="false" />
    </Apply>
  </Condition>
</Rule>

security-role-0000-0000-000000000000允许该角色的用户向设备发出GET请求,如上所述。

使用 XACML 可以使用urn:oasis:names:tc:xacml:1.0:function:string-regexp-match或之类的函数扩展规则urn:oasis:names:tc:xacml:1.0:function:string-regexp-match,但您应该寻找一个 XACML GUI 编辑器,XACML 3.0 规范对机器来说比对人类更容易。默认情况下,Wilma PEP 代理为 Authzforce 传递足够的信息来回答上面定义的规则,如果您想在匹配规则中添加更多子句,您需要在您的 PEP 代理中自定义PEP-PDP 通信以确保发送更多信息到 Authzforce 以允许它裁决请求。

于 2021-06-25T08:06:10.040 回答