问题标签 [alfa]

我已经使用 Wso2 GUI 创建了 XACML 策略。

我也使用了基本策略编辑器。我给出了以下参数

对于策略（在第一个选项卡中，我只给出了资源名称，其他字段留空）：资源名称：https ://www.xyz.com/blabla/

（在第二个选项卡中）规则效果：允许

用户：角色等于建筑师

动作名称：等于读取

所以策略是在这个条件下生成的：

建筑师

这里的属性 id 是：AttributeId="http://wso2.org/claims/role"

现在，当我尝试使用 Tryit 工具测试这个策略时，通过在 GUI 中传递参数，自动请求是从 WSO2 生成的，该请求具有以下角色的属性 id：

AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"

并且因为，策略属性 id 与我的测试请求属性 id 不匹配，所以不断给出中间回复。

我阅读了一些博客并了解发送请求时必须匹配attributeId。

我手动更改请求，然后它工作正常。

这里的问题是，为什么 WSO2 身份服务器正在创建具有不同属性 ID 的请求，而我们已经从相同的 Wso2 身份服务器创建了策略？我认为当您使用相同的编辑器创建它并使用相同的参数对其进行测试时，两者都应该匹配。

或者我在这里错过了什么？

我想编写一个分层策略，第一层将始终检查环境，例如：

• 检查用户是否有有效的 IP 地址，
• 检查时间是否在有效的时间范围内和星期几
• 用户的设备是有效设备

较低层将处理实际请求的操作，例如add，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，，：viewupdatedeletemedical recordsinsurance databank accounts

用简单的英语，规则如下所示

如果所有环境规则都返回允许，则允许的策略

• Rule1：只允许 IP 地址在 [bag with ip-address ranges] 范围内的用户
• 规则 2：仅允许周一至周五的行动请求
• 规则 3：仅允许在上午 7:00 到下午 22:00 之间的操作请求
• 规则 4：仅允许来自台式机或笔记本电脑的操作请求

如何使用 ALFA（授权公理语言）来做到这一点？

I like to how a 4 eyes principle can be defined in ALFA. (Axiomatics)

For example: A bank employee wants to create a new account for a customer. He can create it, fill in all the client information and settings. But he needs to be unable to activate this account, unless his manager has approved him to do so.

So, when the bank employee presses the "activate account" button, a policy needs to enforce that his manager has to approve this first. Sounds like an obligation to me, or are there better ways to enforce this with a policy?

Can somebody give me an ALFA example how to doe this?

我正在开发 XACML 策略，并且正在使用 sun.xacml 库。我想比较两个属性：一个用于主题，一个用于资源，以允许访问资源。

我已经生成了这个 XACML 文件

问题是资源具有级别权限，我想比较主题的级别权限和资源的级别权限，但我不知道该怎么做。

多谢

我如何编写允许在某些资源上委托某些操作的 ALFA 策略？在 XACML 中，这些称为管理策略。

（如http://docs.oasis-open.org/xacml/3.0/xacml-3.0-administration-v1-spec-en.html中所述）

我写了一些义务和建议，但我想知道是否有一种被广泛接受/或正式的方式来正确地做到这一点？换句话说：在 ALFA 中是否有使用义务和建议的标准或首选方式？

我真的很想看一个例子，如何在拒绝和允许时总是触发（在每个请求上）的分层策略中定义义务（例如记录每个请求）及其内容？或者您是否必须为每个策略集/策略和规则定义单独的义务？

您是否必须定义此类义务的确切内容，或者这取决于 PEP 的功能？

如何使用 XACML（使用 WSO2 PDP）和 PIP（如果需要）覆盖以下场景。

在二手车应用程序中，在特定位置，销售人员可以查看更新汽车价格。他们只能查看分配给他们的汽车。

现在从xacml角度来看，我们可以为销售人员角色创建策略并根据位置隐藏特定菜单。

但是如何处理该方法getCarDetails(Object User){...}？

这里基于UserID（销售人员）我们将显示列表。

如何使用xacml规范设计这个？

我对此的理解是：我们可以使用spring-security并在此方法之上添加“销售人员”角色。但它只会限制来自不同角色的其他用户。从那里我很困惑，我们应该根据我们的传统应用程序使用用户 ID 使用数据库调用并获取汽车列表，还是有办法通过 xacml 获得细粒度访问？

我正在开展一个项目，我们希望集中我们的访问控制。

当我们遇到以下情况时，我只是无法理解如何在访问控制中使用粒度：

医生只能访问分配给他的那些患者。

现在，我们可以有很多这样的用例以及一些动态用例，比如：

会计部门看不到患者的详细信息，但医生会更改患者的状态并使他可用于会计部门。

那么如何处理这种动态随机变化。

例如，使用包含两个条件的 AND 函数的 XACML 之间有什么区别。一个条件是时间在 1-6 范围内并且日期等于 23/07/2015

另一个 XACML 将有两条规则，一条规则是时间范围 1-6，另一条规则日期等于 23/07/2015。

我的意思是，它们是如何工作的？第一个，AND 函数必须为真才能获得许可效果。第二个呢？是否会检查这两个规则中的一个是否为真并给予许可效果，或者两个规则都必须像第一个规则一样为真？

我知道 ALFA 中没有委托关键字之类的东西。但是我真的很想知道为什么...是因为实施起来太难了还是有其他原因？