问题标签 [abac]

我希望如果请求者和策略所有者在同一个房间（这里的位置是动态属性），那么请求者将获得对资源的访问权限。如何在 XACML 策略中编写它？

我正在尝试找到任何可以与 Spring Security 或 Apache Shiro 框架一起使用的基于属性的访问控制 (ABAC) 范式的开源或商业实现。现在我找不到他们中的任何一个。我不认为我是第一个需要这种功能的人 - 所以你能推荐支持这个功能的框架吗？

此外，Apache Shiro 中的权限是否可以被视为 ABAC 范式实现的一个特例？

经过大量工作尝试在 balana 中安装自定义函数（用于在策略中的应用条件中使用），我想在这里问。基本上什么文档告诉你在 balana 引擎中安装新功能是：1）在配置中插入如下内容：

和offcourse实现那个类

确实覆盖 getsupportedidentifiers 它甚至不是必需的，但无论如何..

现在，当 balana 启动时，您会看到您的类已初始化，构造函数被调用。然后，即使在 balana 初始化之后，您也可以执行以下操作：

并且您看到您的功能已加载并准备就绪。好的。不，失败。在使用我自己的自定义 balana 核心构建和大量调试消息进行调试后，您可以清楚地看到 Apply 元素在一个策略中解析运行时并且 Apply.getInstance( 它被调用，并且工厂它与您的函数名称一起传递，在那个工厂没有你的函数，所以你得到的只是一个带有“Unknown FunctionId”的异常运行时。我什至尝试手动安装函数工厂，比如：

我再次可以在此代理中看到我的函数，但归根结底，在运行时，当引擎解析

一个例外，它是 trow，Unknow FunctionId。很明显我错过了一些东西，我在问谁能完成内部自定义函数的工作示例并应用元素。谢谢大家。

我想要达到的目标

使用以下策略保护 Keycloak 中的资源：

根据他们的官方文件和邮件列表回复，似乎基于属性的访问控制是可能的，但是，我找不到让它工作的方法。

我试过的

• 使用授权服务：我无法弄清楚我可以在哪里以及如何从资源实例中注入属性。
• 使用授权上下文：我希望获得与资源和范围相关的策略，以便我可以自己评估它们。

到目前为止，这两种方法我都没有成功。老实说，我对授权服务中使用的术语感到不知所措。

问题 在 keycloak 中定义策略时，如何使用资源实例的属性？

Is there a way to generate the Advice or Obligation string returned in the XACML response dynamically dependent on the attributes used in the evaluation(e.g. environment)?

For example, through an extension which implements the logic.

我有一套资源。每个资源都有自己的安全策略，它是安全规则的组合。

为了在 XACML 中创建这些策略，我可以使用什么：元素Policy或元素PolicySet？

例如 ：

• 规则 1：要读取资源 1，用户必须具有管理员角色
• 规则 2：要在资源 2 上写入，用户必须拥有来自域 @yahoo.com 的电子邮件地址
• 规则 3：要阅读资源 3，用户必须来自圣乔治医院
• 规则 4：要写入资源 1 用户必须具有护士角色。

在这种情况下：我应该为资源 1 创建一个策略元素，为资源 2 创建另一个策略元素，依此类推，所有这些都在 PolicySet 元素下吗？或者我应该在该安全规则 1 和 2 下创建一个策略元素，依此类推？

如何使用 WSO2 准确测量 XACML PDP 性能评估访问控制请求所用的时间？是否可以使用 Apache Jmeter 做到这一点？

我正在使用从git下载的 balana 。我正在研究一个策略规则，如果策略的字符串包是请求中匹配属性的子集，则该规则应该只允许。例如。请求包含属性"letter=a, letter=b"，并且策略使用字符串子集来比较从请求到字符串包的字母属性集。Permit我已经尝试了两个子集的顺序（子集字母 stringbag 与子集 stringbag 字母），但是当我的测试请求应该得到“”时，它们都返回“ Deny”。

示例政策

我正在通过这个测试请求：

要求

所以，我的想法（因为我不确定有什么方法可以否定它）是

• 它隐含地将条件的否定匹配与效果的否定相关联。

如果这是真的，我的直觉是，一个可以的匹配子集应该说“允许”，但如果它不符合条件，它会改为说“拒绝”。

由于没有目标语句，我的直觉是它“应该”尝试评估所有请求的条件，因此不匹配条件不应该导致规则跳过被评估。

无论如何，看着样本，我希望它说“我的政策接受 A、B，但你有 A、B、C，所以我不得不拒绝你。” 不幸的是，这不是它正在做的事情，我不知道为什么。请帮忙。x_x

我正在使用 Kubernetes 1.4.5 并从头开始安装 HA 集群（系统中的每个组件而不是容器）

为了增强安全性，每个组件都有一个证书来连接 apiserver(s)。为了定义权限，我使用ABAC插件。我不关心读取权限，但想确保只为负责“某事”的模块启用写入权限。

我没有找到任何关于哪个组件至少需要哪些权限的文档。我开始配置，查找错误并重新开始。

我从 Kelsey Hightower 的 tls 教程开始，然后“失败了”。

这是我到目前为止所拥有的

有谁知道我是否遗漏了什么？

[更新] 我发现只定义规范是不行的，因为控制器管理器遇到了麻烦。所以我用完整的行更新了配置。

我正在尝试使用 JAVA MVC 应用程序实现 Wso2 身份服务器的基于 XACML 的访问控制。

用例：用户登录并仅查看 XACML 策略中定义的选定页面/菜单（以及这些页面上的操作，例如查看、发布、删除等）。

我在 WSO2 IS XACML 中检查的内容将为特定资源返回 Permit/Deny/NotApplicable。

所以只想知道这个用例的解决方案是否可以使用 Wso2 IS XACML 以及如何实现。

请帮忙。

谢谢