问题标签 [abac]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
authorization - 无法在 WSO2 Identity Server 5.1.0 中导入 XACML 3,0 策略文件
每当我在 WSO2 身份服务器中上传策略时,我都会收到“策略上传失败。无效的权利策略。根据 XACML 架构,策略无效”消息。我有 wso2is-5.1.0 版本。我从这个 WSO2教程中得到了这个 XACML 策略。
XACML 策略是:
我无法了解 XACML 政策中的问题。
authorization - WSO2 身份服务器 - 在 PAP 的 Try-It 下 XACML V.3 策略集的问题
我想添加一个策略集,以便使用基于输入字段“资源”定义给定策略是否适用的目标按顺序运行一系列策略。为了开始测试,我编写了一个包含一个策略的策略集。
WSO2 PAP 的评估未能显示“NotApplicable”的结果,而我希望收到“Permit”。
这里在 XML 中创建了名为“cfatest0”的策略:
这里以 XML 创建名为 cfapolicyset1 的 PolicySet:
在 PAP 下由 WSO2“Try-It”工具生成的请求下方:
决定是:不适用
我在向 PolicySet 发送请求的方式上是否遗漏了什么?使用 WSO2 高级策略编辑器时,我在响应中收到相同的错误。在测试 PAP“Try-It”工具中隔离的策略时,我收到了正确的值,对于该策略,它是:“Permit”。
authorization - 基于角色和基于用户的 XACML 策略
让我用一个例子来解释我的问题 -
假设,我有根位置 Mumbai(位置层次结构的根元素)和两个孩子 Andheri 和 Bandra。
我有两个角色——经理和工厂工程师。经理可以访问孟买下的所有位置,工厂工程师可以访问根元素(孟买)的子级访问权限。
我有四名员工,员工“A”作为经理,员工“B”、“C”和“D”作为工厂工程师。
由于“B”、“C”和“D”是工厂工程师,所以这三个人都可以访问 Andheri 和 Bandra 级别的位置,但我想通过我的 XACML 政策申请工厂工程师“B”和“D”应该有特权的条件仅访问 Andheri 位置和工厂工程师“C”应该有权访问 Andheri 和 Bandra 位置。
我不知道我应该如何编写 XACML 策略,它可以满足我的上述给定条件。
authorization - 无法在 wso2is-5.1.0 中导入 XACML 策略
我正在尝试在 wso2is-5.1.0 中上传以下给定的 XACML 策略。我收到“策略上传失败。无效的权利策略。根据 XACML 架构,策略无效”错误消息。我无法弄清楚,我的 XACML 有什么问题。在控制台上,我发现[2016-06-20 18:50:06,142] ERROR {org.wso2.carbon.identity.entitlement.EntitlementUtil} - 策略消息中的命名空间无效。
authorization - NotApplicable Response 是 XACML 策略
为什么我在 XACML 政策中得到 NotApplicable 响应?请在下面找到我的 XACML 政策、请求和响应。在我的政策中,我有与用户名匹配的主要目标元素。我正在使用 wso2is-5.1.0 进行测试。
XACML 政策
XACML 请求
XACML 响应
authorization - XACML 策略中的分层属性
我们正在使用 WSO2 Identity Server 5.1.0 。
我们有一个像 Plant1->Area1->unit1 这样的位置层次结构。现在,如果用户拥有 Plant1 的属性,他也应该可以访问 unit1(树中父级的所有子级)。
我们可以在 XACML 中指定这个吗?我们将层次结构存储在 DB 中。如果需要,我们也可以将分层元素列表作为属性列表提供。
示例中解释的问题:用户 bob 已被授予对 area2 的访问权限,如下所示:
工厂1
|--区域1
|--区域2
我们要在 XACML 策略中指定 Area2 位置。现在,如果带有 area2 或 unit2 的请求应该被允许,而如果带有 plant1、area1 或 unit1 的请求出现,则应该被拒绝。
我需要 XACML 策略的结构。
authorization - XACML ALFA - 如何将 Bag 的一个元素读取为字符串并将其连接起来
想知道如何将两个包连接为一个字符串,每个包包含一个数据元素。stringConcatenate 函数只接受字符串数据类型,而从 PIP 模块返回的数据值是包类型。ALFA 中是否有字符串到包的转换?扫描版本 3 规范我没有找到反函数,比如读取包中的第一个元素转换为字符串。XACML 版本 3 和 ALFA 是否有可用的解决方案来运行此数据类型调整并连接两个数据值?
例子:
hibernate - 如何实施 XACML 策略?
我正在研究一个jsp休眠项目。现在我想在我的项目中实施 XACML 策略。请指导我,如何构建和实施 XACML 策略?
authorization - 如何在 ALFA 中自动化 XACML 字符串操作函数?
我们收到了在策略中编写一组规则的请求,该策略应生成详细的日志消息,包括允许和拒绝条件。生成的日志输出是多个属性的构造,或者从 XACML 请求输入或从 PIP Java 例程传输,其中我们在一组属性中获得额外的属性,如 UTC 日志事件时间和数据源的服务状态从数据库。所有信息都应通过 XACML 义务传输到 PEP,它将字符串转换为最终的数据库日志记录步骤。
有没有办法在 ALFA 语言中创建一个可重用的函数,以可调用的方式对所有必需的字符串操作语句进行分组,类似于 Java 编程函数,避免编写冗余代码部分。
authorization - 即使策略规则中缺少该属性,具有附加属性的 XACML 3.0 请求也匹配
我有一个这样定义的 XACML 3.0 策略:
我的 XACML 请求看起来像这样,带有一个包含值“计算机工程”的额外 AttributeId="group"。
我希望 PEP 将返回NotApplicable但相反它返回以下响应:使用PERMIT 即使定义的策略规则不包含任何名为“组”的属性作为规则目标,而请求正在发送“组”属性值“计算机工程”,甚至它正在返回匹配和许可响应!
有什么我想念的吗?我想不通。我目前正在使用Balana作为我的应用程序的 PEP 实现。