有没有什么方法可以在不使用 ALFA Eclipse 插件的情况下使用 ALFA 生成 XACML？我想创建一个策略创建者并以编程方式创建 ALFA 并将其转换为 XACML 比尝试生成 XACML 更好，对吧？

在 XACML 中，我不确定义务是否会为规则决策添加更多信息或提供更多条件。例如，我希望响应允许访问患者电子健康记录，但我想增加拒绝访问患者电子健康记录中特定记录的义务。

我将使用 OAuth2 和 XACML（使用 AuthZForce）保护我的 Spring Cloud 应用程序。

我已经实现了一个简单的 ABAC 解决方案，可以处理以下用例，但我想切换到 XACML。是否可以？

旧域名

我有（在数据库中）：

• 政策（例如，subject.id==resource.ownerId），由执法点检查以做出决定
• 具有某些已定义策略的权限（例如 DELETE_USER）
• 拥有某些权限的角色（例如 EMPLOYEE）
• 具有某些默认值和公司可用角色和权限的功能（例如 PREMIUM）
• 具有某些功能的公司
• 分配给公司的用户

用例

现在，来自公司的用户可以创建新角色 ROLE_X。他可以为这个角色分配一些权限。

更新

因为这个问题原本包含两个不同的问题，所以我决定外包第二个问题（AuthZForce for Spring Cloud）

any-of-any 的 XACML 输出似乎是错误的：

是我得到的

这就是 AutzZForce-core 想要的。

我已经在 中取消了对这一行的注释system.alfa，但仍然存在同样的问题。

这是我试图通过 XACML/ABAC 实现的一个要求，用于学习目的：

信息模型

• 资源：建筑、单元

  • 有许多建筑物（例如 B1、B2、B3、... Bn）
  • 每个建筑物都有许多单元（即单元是建筑物的子单元）（例如 B1U1、B1U2、B1U3...）

• 主题：家政人员

规则

• 管家可以“打开”一个“单元”，如果
  • 他们对该“单元”具有“开放”权限或
  • 如果他们对该“单元”所在的“建筑物”拥有“开放”许可。

任何指针？

更新

基本上这是我关心的问题：如果要求类似于，如果她/他对“unitX”具有“打开”权限，则管家可以“打开”“unitX”。在这里，我只写了一个简单的规则。

但是，根据我的实际要求，担心的是：

1. 由于没有一个特定的资源，而是许多相同类型的资源，我应该为每个资源编写单独的策略吗？前任。建立“B1”的单独政策，“B2”的另一个政策等等？

2. 政策将如何“了解”建筑与单元之间的层级关系。

现在我进一步考虑了这一点，我认为以下方法应该可行（？）

1. 请求将包括以下内容

资源：/{buildingId}/{unitId} //这是策略将如何知道父子关系

动作：打开

主题：subjectId，可能还有该主题拥有的所有权限（仍在考虑如何表示权限，有什么建议吗？）

2. 使用规则定义一个策略： // 伪代码 if(subject.permissions include open on {buildingId} OR open on {unitId}) then permit else deny。

有什么建议么？

谢谢，

贾廷

我想对属性值使用正则表达式来匹配资源名称。例如，http://localhost .*/private/team，以便以下值匹配

http://localhost:8080/private/team , http://localhost:8080/abcd/private/team

我有以下政策

资源在条件标签内。我试过但无法在条件中添加字符串正则表达式函数。我可以在 string-bag 中添加正则表达式函数吗？还是我必须将其移动到目标？我怎样才能做到这一点？

问候， 阿尔比·莫肯

我正在尝试使用 REST API 评估 XACML 请求。我使用 JSON 请求来获取“根”下所有资源的决策。WSO2 给了我结果，但我没有在结果中得到相应的资源

https://docs.wso2.com/display/IS530/Using+REST+APIs+via+XACML+to+Manage+Entitlement

JSON 格式的 XACML 请求

JSON 格式的 XACML 响应

我没有得到任何结果的资源。我将如何关联结果？

我想修复 XACML 语言中目标和条件之间的差异，以及何时应该使用目标或条件。

XACML 3.0 规范规定，对于<Match>评估，“MatchId 函数应应用于从or 元素<AttributeValue>返回的包的每个元素之间。” 7.6 比赛评估<AttributeDesignator><AttributeSelector>

例如，如果属性 access-subject / subject-id 返回一个包含多个值的包，则应遍历这些成员，直到匹配函数返回 true。这是清楚而明显的。现在，如果<AllOf>元素<Match>在一致性测试中有两个 es IIA007Policy.xml（见下文）。它有一个Match访问主题/主题ID等于“Julius Hibbert”，访问主题/某些属性等于“猜我这个”。

现在假设在一个请求中，有两个属性有多个成员，现在应该如何评估匹配？属性 1 有包 [1, 2, 3]，属性 2 有包 [a, b]。可以从第一个属性开始处理成员，直到返回 true，然后继续处理下一个属性等，但这不会涵盖所有可能的结果。或者，匹配函数是否应该同时应用于两个包中成员的所有组合[{1,a},{1,b},{2,a},{2,b},{3,a},{3,b}]？对于大包和/或许多属性，这将导致要处理的大量组合！

据我所知，规范不提供在两个或多个属性返回同一<AllOf>元素中具有多个成员的包的情况下如何处理这种情况的线索。我的问题是：

• 我是否错过了规格中的某些内容，
• 我的解释正确吗？
• 在实际实现中如何处理？

我想在 Wso2 身份服务器中编写 XACML，如果用户属于该国家http://localhost:8080/ Country_name，我想授权用户访问国家页面。

并且用户国家映射是从 UI（Web 应用程序）添加的。现在如果用户 2 登录它应该无法访问除美国以外的其他国家页面

谢谢普里扬卡·戈尔