问题标签 [alfa]

当使用 Any-of-Any 函数比较两个不同的包时，XACML 版本 3 是否能够识别产生匹配的元素（由布尔真值表示）。除了这个返回值之外，是否有可用的索引值，或者作为整数，或者作为整数列表？

我们收到了在策略中编写一组规则的请求，该策略应生成详细的日志消息，包括允许和拒绝条件。生成的日志输出是多个属性的构造，或者从 XACML 请求输入或从 PIP Java 例程传输，其中我们在一组属性中获得额外的属性，如 UTC 日志事件时间和数据源的服务状态从数据库。所有信息都应通过 XACML 义务传输到 PEP，它将字符串转换为最终的数据库日志记录步骤。

有没有办法在 ALFA 语言中创建一个可重用的函数，以可调用的方式对所有必需的字符串操作语句进行分组，类似于 Java 编程函数，避免编写冗余代码部分。

我希望如果请求者和策略所有者在同一个房间（这里的位置是动态属性），那么请求者将获得对资源的访问权限。如何在 XACML 策略中编写它？

我有一套资源。每个资源都有自己的安全策略，它是安全规则的组合。

为了在 XACML 中创建这些策略，我可以使用什么：元素Policy或元素PolicySet？

例如 ：

• 规则 1：要读取资源 1，用户必须具有管理员角色
• 规则 2：要在资源 2 上写入，用户必须拥有来自域 @yahoo.com 的电子邮件地址
• 规则 3：要阅读资源 3，用户必须来自圣乔治医院
• 规则 4：要写入资源 1 用户必须具有护士角色。

在这种情况下：我应该为资源 1 创建一个策略元素，为资源 2 创建另一个策略元素，依此类推，所有这些都在 PolicySet 元素下吗？或者我应该在该安全规则 1 和 2 下创建一个策略元素，依此类推？

我的公司正在寻求实施集中式安全服务，而 XACML 似乎是一个流行的标准。我有一个复杂的授权场景，我一直无法弄清楚如何使用 XACML 策略的属性来定义它。

我正在使用的系统有几个与此身份验证场景相关的部分：

• 用户创建项目来组织他们的工作。每个项目都有一个团队成员和查看者列表（可以查看项目但不能修改它的用户或组）。
• 在这些项目中，用户创建配方来描述应该如何制造某些东西。
• 用户请求由另一组制造这些配方。

如果用户想要查看特定项目的食谱，则必须满足以下任何条件：

• 用户必须是配方的所有者（编写它的人）。
• 用户必须是创建配方的项目的团队成员。（直接或通过群组成员资格）
• 用户必须是制造配方的组的成员。（他们需要查看制造它的配方。）
• 用户必须是在过去两周内制作配方的组的成员。（即，在完成制造配方的请求后，他们可以继续查看配方两周以纠正任何问题。）
• 用户必须是管理员。

使用这些规则，确定用户是否可以查看食谱所需的属性似乎包括：

• 用户
• 用户的组成员身份（用于项目访问、制造组或管理员访问）
• 项目组成员和观众
• 配方的制造请求

问题：

• PIP 将如何收集这些信息？直接从数据库？通过对存储此信息的系统的服务调用？
• XACML（通常）如何表示此信息？我见过的大多数示例都使用不使用数据集合的简单模型（例如制造请求列表）；直接在被访问的对象上简单地属性。数据会以某种方式展平，例如“isBeingManufacturedByUserGroup”吗？（如果是这样，该属性的值将如何确定？）
• 如何构建政策来评估这些规则？
• 有没有其他方法可以处理这种授权（除了 XACML）？OAuth 2.0 是否能够更轻松地处理此类问题？

这可能是关于 ABAC 的一个非常基本的问题，我没有找到明确的答案。 PAP 使用哪些软件项目工件（例如需求规范）来创建 XACML 策略文档？

我需要定义一个具有这两个要求的策略：

(1) 任何用户都可以访问（读、写等）资源http://www.example.com/info1和http://www.example.com/info2

(2) 对任何资源的任何读取动作（读）只能由属于该组的用户admin访问manager。

此策略必须以 XACML 编写。

然后，我解决的是：

（语法高亮链接：https ://gist.github.com/Fhernd/62c6e387767cc4fc79aead3a669ea4c0 ）

我实施这两条规则的方式是否正确？O 更准确地说，规则的使用AnyOf是正确的Rule #1？，是否可以省略该Condition规则的元素？

我可以在Target>AnyOf>AlloOf元素中只有一个读取操作吗？

我如何结合这两个规则

(1) 任何用户都可以访问（读、写等）资源http://www.example.com/info1和http://www.example.com/info2

(2) 对任何资源的任何读取动作（读取）只能由属于组admin和manager的用户访问。

在一个？

到目前为止我所做的是：

Condition当任何具有任何操作（读、写等）的用户尝试访问这两个 URL 中的任何一个时，我如何设置可选？

而且，如何验证具有读取操作的访问请求时，它只能在用户（主题）属于组或管理员时访问？

我正在使用 WSO2IS 5.3.0，并按照此网站上的说明进行操作：https ://docs.wso2.com/display/IS530/Writing+a+Custom+Policy+Info+Point

我已经成功实现了自定义 PIP 属性查找器 (KMarketJDBCAttributeFinder)，到目前为止一切顺利。我遇到的问题是我想发送多个属性，但 AttributeFinder 只选择一个。接下来，我的政策和要求：

XACML 政策：

XACML 请求：

如您所见，我将三个属性作为资源类别的一部分发送；但是当我调试代码时，我只看到其中一个属性被拾取（其他属性被忽略）

另外，从请求和政策中，我使用了海关 AttributeId:urn:my:custom:id:data-one和urn:my:custom:id:data-two

¿如何发送多个属性（不使用“多个请求”选项，我只发送一个请求）并确认我的自定义属性查找器 PIP 扩展正确获取了所有属性？

假设我们有一袋布尔值。是否有一个函数可以判断“真实”值的数量是否大于某个常数（例如，5）？

我遇到了“n-of”函数，但它需要多个单独的属性作为输入而不是袋子......也许“map”函数可以提供帮助，但不确定如何因为我没有找到可以减少的函数一个袋子里的物品数量。

谢谢！迈克尔。