问题标签 [alfa]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
148 浏览

xacml - 有没有不使用 Eclipse 插件的情况下使用 ALFA 生成 XACML?

有没有什么方法可以在不使用 ALFA Eclipse 插件的情况下使用 ALFA 生成 XACML?我想创建一个策略创建者并以编程方式创建 ALFA 并将其转换为 XACML 比尝试生成 XACML 更好,对吧?

0 投票
1 回答
201 浏览

authorization - XACML 义务是解释或要求更多条件

在 XACML 中,我不确定义务是否会为规则决策添加更多信息或提供更多条件。例如,我希望响应允许访问患者电子健康记录,但我想增加拒绝访问患者电子健康记录中特定记录的义务。

0 投票
1 回答
535 浏览

oauth-2.0 - 从自定义 ABAC 切换到 XACML

我将使用 OAuth2 和 XACML(使用 AuthZForce)保护我的 Spring Cloud 应用程序。

我已经实现了一个简单的 ABAC 解决方案,可以处理以下用例,但我想切换到 XACML。是否可以?

旧域名

我有(在数据库中):

  • 政策(例如,subject.id==resource.ownerId),由执法点检查以做出决定
  • 具有某些已定义策略的权限(例如 DELETE_USER)
  • 拥有某些权限的角色(例如 EMPLOYEE)
  • 具有某些默认值和公司可用角色和权限的功能(例如 PREMIUM)
  • 具有某些功能的公司
  • 分配给公司的用户

用例

现在,来自公司的用户可以创建新角色 ROLE_X。他可以为这个角色分配一些权限。

更新

因为这个问题原本包含两个不同的问题,所以我决定外包第二个问题(AuthZForce for Spring Cloud

0 投票
1 回答
66 浏览

authorization - Eclipse ALFA 插件输出中的错误 XACML 函数标识符

any-of-any 的 XACML 输出似乎是错误的:

是我得到的

这就是 AutzZForce-core 想要的。

我已经在 中取消了对这一行的注释system.alfa,但仍然存在同样的问题。

0 投票
1 回答
171 浏览

authorization - 如何在 XACML 策略中实现这些规则?

这是我试图通过 XACML/ABAC 实现的一个要求,用于学习目的:

信息模型

  • 资源:建筑、单元

    • 有许多建筑物(例如 B1、B2、B3、... Bn)
    • 每个建筑物都有许多单元(即单元是建筑物的子单元)(例如 B1U1、B1U2、B1U3...)
  • 主题:家政人员

规则

  • 管家可以“打开”一个“单元”,如果
    • 他们对该“单元”具有“开放”权限或
    • 如果他们对该“单元”所在的“建筑物”拥有“开放”许可。

任何指针?

更新

基本上这是我关心的问题:如果要求类似于,如果她/他对“unitX”具有“打开”权限,则管家可以“打开”“unitX”。在这里,我只写了一个简单的规则。

但是,根据我的实际要求,担心的是:

  1. 由于没有一个特定的资源,而是许多相同类型的资源,我应该为每个资源编写单独的策略吗?前任。建立“B1”的单独政策,“B2”的另一个政策等等?

  2. 政策将如何“了解”建筑与单元之间的层级关系。

现在我进一步考虑了这一点,我认为以下方法应该可行(?)

  1. 请求将包括以下内容

资源:/{buildingId}/{unitId} //这是策略将如何知道父子关系

动作:打开

主题:subjectId,可能还有该主题拥有的所有权限(仍在考虑如何表示权限,有什么建议吗?)

  1. 使用规则定义一个策略: // 伪代码 if(subject.permissions include open on {buildingId} OR open on {unitId}) then permit else deny。

有什么建议么?

谢谢,

贾廷

0 投票
1 回答
594 浏览

authorization - XACML 策略 - 对条件内的属性值使用正则表达式

我想对属性值使用正则表达式来匹配资源名称。例如,http://localhost .*/private/team,以便以下值匹配

http://localhost:8080/private/team , http://localhost:8080/abcd/private/team

我有以下政策

资源在条件标签内。我试过但无法在条件中添加字符串正则表达式函数。我可以在 string-bag 中添加正则表达式函数吗?还是我必须将其移动到目标?我怎样才能做到这一点?

问候, 阿尔比·莫肯

0 投票
3 回答
398 浏览

authorization - 在 XACML JSON 请求/响应中关联资源

我正在尝试使用 REST API 评估 XACML 请求。我使用 JSON 请求来获取“根”下所有资源的决策。WSO2 给了我结果,但我没有在结果中得到相应的资源

https://docs.wso2.com/display/IS530/Using+REST+APIs+via+XACML+to+Manage+Entitlement

JSON 格式的 XACML 请求

JSON 格式的 XACML 响应

我没有得到任何结果的资源。我将如何关联结果?

0 投票
1 回答
603 浏览

authorization - XACML中目标和条件之间的区别

我想修复 XACML 语言中目标和条件之间的差异,以及何时应该使用目标或条件。

0 投票
2 回答
266 浏览

authorization - 多个多值属性的匹配评估

XACML 3.0 规范规定,对于<Match>评估,“MatchId 函数应应用于从or 元素<AttributeValue>返回的包的每个元素之间。” 7.6 比赛评估<AttributeDesignator><AttributeSelector>

例如,如果属性 access-subject / subject-id 返回一个包含多个值的包,则应遍历这些成员,直到匹配函数返回 true。这是清楚而明显的。现在,如果<AllOf>元素<Match>在一致性测试中有两个 es IIA007Policy.xml(见下文)。它有一个Match访问主题/主题ID等于“Julius Hibbert”,访问主题/某些属性等于“猜我这个”。

现在假设在一个请求中,有两个属性有多个成员,现在应该如何评估匹配?属性 1 有包 [1, 2, 3],属性 2 有包 [a, b]。可以从第一个属性开始处理成员,直到返回 true,然后继续处理下一个属性等,但这不会涵盖所有可能的结果。或者,匹配函数是否应该同时应用于两个包中成员的所有组合[{1,a},{1,b},{2,a},{2,b},{3,a},{3,b}]?对于大包和/或许多属性,这将导致要处理的大量组合!

据我所知,规范不提供在两个或多个属性返回同一<AllOf>元素中具有多个成员的包的情况下如何处理这种情况的线索。我的问题是:

  • 我是否错过了规格中的某些内容,
  • 我的解释正确吗?
  • 在实际实现中如何处理?
0 投票
1 回答
350 浏览

authorization - WSO2 XACML 动态属性值

我想在 Wso2 身份服务器中编写 XACML,如果用户属于该国家http://localhost:8080/ Country_name,我想授权用户访问国家页面。

并且用户国家映射是从 UI(Web 应用程序)添加的。现在如果用户 2 登录它应该无法访问除美国以外的其他国家页面

谢谢普里扬卡·戈尔