问题标签 [abac]

我已经玩了一段时间的 WSO2 并开始测试 PolicySets。我有一个基本的，它的目标是“管理员”用户角色和一个除了允许访问之外什么都不做的策略。

当我提出请求时，我会得到Exception occurred while trying to invoke service method getDecision回应。我不是 Java 程序员，所以堆栈跟踪不是很有用。

是我做错了什么，还是 WSO2 中存在错误？

策略集：

请求：

请注意，用户角色是通过向 PIP 发出请求来确定的。

堆栈跟踪：

在基于 WSO2 的 PDP 的 XACML“Try-It”工具下测试字符串比较操作，我检测到 XACML (XML) 源代码及其变量中的 ascii 和非 ascii 字符定义存在一些问题。下面是一些例子：

所有源都使用前面的标题：

变量的翻译并非 100% 符合预期的“真”行为。使用 WSO2 策略编辑器时，是否有提示如何提高“True”的命中率？

想知道为什么在义务声明中的 WSO2 Balana 框架只接受“允许”或“拒绝”条件的 fulfillOn 参数，但忽略“不适用”结果，这也可能是有趣的拦截和记录在逻辑流中以帮助策略调试过程。

在 Balana ObligationExpression.java 的源代码中，我们发现：

您对此有何看法，这个逻辑是否正常工作？

浏览 OASIS XACML V3 规范，我没有发现任何对实现“字符串不等于”操作的逻辑函数 [此处] 的引用。缺少的功能是：

问题：是否有省略此功能的原因，或者是否有通过代码修改允许规则分析师绕过这种情况的良好做法？

我正在学习 XACML 3.0 并想问一下，如果我有两个具有不同 ID 但属于同一类别的属性，即（Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource"），这个解释为同一类别的两个不同属性或具有单个属性的两个单独请求。

谢谢你 。

WSO2 XML 编辑器中的 XACML 版本 3 语法验证器存在问题，它拒绝插入语句。我计划添加一个属性列表来代替单个属性检查。下面是被 XACML 语法验证器拒绝的语句的打印输出：

这个带有“string-bag”的简单条件会引发模式错误：

显示的错误信息是：

使用“或”逻辑运算符的这种条件工作正常：

如上所示，描述条件的语句插入到该规则的最后一部分之前。

WSO2 PAP 是否支持使用属性列表，如果是的话，这个错误是否可以通过语法构造中的错误来解释？

在 Web 上寻找公共语法和模式验证器，这是一种实用工具，有助于调试与 XACML V3 语法合规性类似的问题。

我想知道在 XACML V.3 下是否有机会共同生活在同一规则中的<Condition>和部分。<Target>看起来 XLS 模式验证正在拒绝这样的构造。这个错误是否可以通过语句序列来解释，或者这样的结构是简单的、不可预见的，还是可能的？

IdAM 产品供应商正在积极使用的资源标识符 (urn:oasis:names:tc:xacml:1.0:resource:resource-id) 的格式/结构是否有标准或批准的配置文件？大约一年来，我一直在针对 Oracle Entitlements Server (OES)、ForgeRock OpenAM 和 WSO2 Identity Server (WSO2IS) 等产品开发原型代码，并且资源标识符在本质上似乎是特定于供应商的。例如，根据我的经验：

在 OES中，资源标识符采用 /应用程序名称/资源类型/由斜线分隔的资源元素的形式

在 OpenAM中，资源标识符的形式似乎是 /领域/应用程序名称/由斜线分隔的资源元素

在 WSO2IS中似乎没有强制执行特定格式，至少没有通过管理 GUI

在 Axiomatics Policy Server中，用户可以选择自己喜欢的格式。

我已经查看了Hierarchical Resource Profile，但我没有看到（或错过）上述供应商特别支持此配置文件的地方。（我也不能 100% 确定它是否适用于我所问的具体问题，这就是我提到它的原因。）

需要关注的具体领域之一是由扮演 PEP 角色的应用程序保护的资源建模，因为似乎确实有一定数量的供应商/实现特定信息是资源建模的一部分身份标识。我们的客户强烈希望保持供应商/供应商中立，这是他们对基于标准 (XACML) 的实施感兴趣的主要原因之一。

任何有关此主题的指导或参考将不胜感激。

型号（表）：

• 项目（id，名称，category_id，status_id）
• 类别（ID，名称）
• 状态（id，名称）

我需要按确切的类别和确切的状态限制对项目的访问。

情况1。

Role1 应该可以访问具有 id 1 和 3 的类别的项目，但 Role2 可以访问具有 id 2 和 4 的类别的项目。

情况2。

角色应有权访问项目：类别 1，但仅限状态为 5 或 6 的项目为类别 2，但仅限状态为 7 或 8 的项目

可以创建和删除类别和状态。

如何在 RBAC 概念中实现这样的访问控制？

对于情况 1，我的想法是动态创建名称为“accessItemWithCategory_{$categoryId}”的权限，并将其分配给适当的角色，然后检查用户是否可以（“accessItemWithCategory_{$categoryId}”）。它有效，但感觉不对。

对于情况 2，如果继续这种方法，我会获得像“accessItemWithCategory_{$categoryId}_Status_{$statusId}”这样的权限，它只是丑陋且极其不灵活。

如果不在权限名称中使用 id 比什么？我可以使用简单的权限“accessItem”和规则来检查带有角色和项目参数的额外表，这些参数将允许角色访问项目？但这意味着将授权控制转移到 RBAC 之外，并在角色层次结构支持下地狱。

我为一个组织工作，该组织托管许多其他组织使用的应用程序，这些应用程序位于一个层次结构中（我在教育领域工作）。 本文详细介绍了他们所谓的“ROBAC”，它确定并提出了一种我们希望尝试实施的访问控制新模型。有没有人通过 Thinktecture 或任何其他基于 .NET/Katana 的技术实现 IdentityServer 的经验？

是否可以使用 OAUTH2/OpenId 来实现 ROBAC/OrBac 模型？如果是这样，是否有任何可用的文档说明如何执行此操作？