我有一个像这样的主题"accessTo" = ["123", "123-edit"] 和一个像这样的资源"interestedId" = "123"

现在我正在尝试编写一个条件 - 它检查与“-edit”连接的“interestedId”等于“AccessTo”中的“123-edit”。

我试图写这样的规则

它不允许这样做。

任何帮助表示赞赏。

为单个用户和相同资源创建具有多个角色的 XACML 策略，以及如何创建请求并仅访问一个规则哪些角色和资源。

数据模型

• 资源：- 公司
• 角色：- 管理员（创建和删除）、访问者（读取）、租户（更新）；
• 用户：- abc；

设想

1. 如果用户使用资源登录应用程序"company"并选择"admin"角色，则创建请求并验证 XACML 策略规则并允许（create和delete）。

2. 如果用户使用资源登录应用程序"company"并选择"visitor"角色，则创建请求并验证 XACML 策略规则并允许 ( read)。

3. 如果用户使用资源登录应用程序"company"并选择"tenant"角色，则创建请求并验证 XACML 策略规则并允许 ( update)。

问题

我只想要政策和要求的样本。我们创建什么类型的 XACML 策略以及我们将以 XML 格式发送什么请求

我是 XACML 架构的新手，如果您能帮助我解决下一个问题，我将不胜感激。

是否可以以从一个 PIP 提取的答案用作其他 PIP 的输入参数的方式使用多个 PIP？

如果是这样，你能给我提供一个简单的 XML 请求示例吗？

提前致谢

我有两个策略，第一个应该返回许可，第二个应该返回拒绝，但它总是向请求返回拒绝。

这是策略集：

我希望它具有许可响应的 XACML 请求：

请求我希望它有许可响应：

对这两个请求的响应：

这是阿尔法代码：

这就是我将其添加到规则中的条件：

我只是不知道为什么所有有条件的尝试都失败了！我在 Deny_Rule 中尝试过这种情况：

但是当我发送请求时，它会返回：

即使我只是写了：

！！！

我正在尝试找到一些可以用来学习 ALFA 语言的资源，谷歌搜索似乎对我没有帮助，或者我问错了问题。你能给我推荐一些至少不错的资源吗？

考虑一个主题和对象都具有如下定义的标签：

subject/object label = [i1, i2, ..., in]，哪里i是subjectId另一个主题。

在策略 (ALFA/XACML) 中，如何对主题和对象标签进行比较，以使两个列表中的元素都不相同。

例如：

最终的决定将是DENY两个标签都包含i9. 如果在任何列表中都找不到匹配项，则访问结果将为PERMIT.

Below is an XACML policy, for Chinese Walls, which uses stringAtLeastOneMemberOf to compare two attributes two see if they contain the same value of a list of values.

I.e. if the subject requesting access to an object has a label [1, 4, 5] and the object has a label [2, 3, 5] then access will be denied as both contain 5.

The Chinese Wall Policy

ALFA Code

XACML policy

Policy Enforcement Point (PEP) Code

I am using the Authzforce Core PDP for Java to emulate the PDP and I evaluate the request as follows:

The JSONObject in this case is just how I send the request from my client to the PDP engine. Other policies work, the problem here is I am sending a String i.e. "[2, 4, 5]" to the bag, but it always results in a NotApplicable. Is there are list type that I should be using here instead to conform with the policy?

Here is the JSON I am sending:

Challenge

To be more precise, the JSON output in the java code to Authzforce for the conflict set will be a string i.e. "[2,3,5]" whereas I think this needs to be another format (since it always results in NotApplicable), but this is my question.

我有一个项目需要 ABAC 对我的项目资源进行访问控制。我一直将 OPA 和 authzforce 视为实现 ABAC 的选项，而 OPA 看起来可能没有 authzforce 复杂。我看到 OPA 将自己与其他系统和范例进行比较，但它为 ABAC 提供的示例还有很多不足之处。主要是因为 ABAC 需要使用点来执行策略、围绕策略做出决策、获取策略决策的主题和对象属性。我觉得 OPA 除了最后一部分之外什么都有，但很难说这是否属实，因为他们的 ABAC 示例只是一次性的。

我一直在互联网上寻找 OPA 被用作 ABAC 实现的示例，但我没有找到任何东西。

我的项目是一个 Web 应用程序，它允许最终用户创建资源并为其资源创建策略。我计划为最终用户创建一个 UI 来创建他们的策略。我的计划是抽象出它的编码方面，而是给他们下拉菜单和按钮，这个 UI 将在幕后使用自定义语法，我将解释为 OPA 策略。

我遇到的主要问题是如何将它实现为 ABAC，它是否像构建将获取主题、对象和环境的属性并在它和 OPA 之间创建粘合剂的部分一样直接（本质上是创建一个 PIP ) 因为 OPA 本身似乎是事实上的 PEP 和 PDP？

我觉得我被文档淹没了，OPA 自己的文档中似乎缺少很多内容来解释如何做到这一点。

我通过阅读 2013 年 1 月 22 日版本的 OASIS 标准文档来学习 XACML 3.0。

第一个示例策略（第 4.1.1 节）非常简单易懂：Name-match必须对请求的subject-id属性（以 RFC822 名称的形式）执行一个函数：如果提交的名称与规则AttributeValue属性的值匹配，则 PDP评估为Permit。

然后，该文档继续显示提交给 PDP 的假想决策请求（正确格式化为请求上下文）。这也很简单：subject-idbs@simpsons.com 的主题正在尝试read对文件系统资源执行操作：

现在，我不明白的部分来了：文档说（第 805 到 807 行）

PDP 现在将请求上下文中的属性与该策略中的一个规则的目标进行比较。请求的资源与<Target>元素匹配，请求的操作与<Target>元素匹配，但请求的 subject-id 属性与“med.example.com”不匹配。

好的subject-id不匹配，但是如果资源和操作没有在规则中指定，它们如何完全匹配？也许它们的缺席以某种方式被丢弃并且不适用于目标，但是文档说它们匹配，这是一个标准文档，并且每个单词的确切含义都非常重要。我没有找到任何关于它的信息，这对我来说是一件大事，因为我正在尝试构建自己的 XACML3.0 兼容系统作为辅助项目。

我错过了什么？

谢谢！

XACML 允许我们在<Target>标签中和标签中<Policy>指定<Rule>标签。

我想了解的是：

• 在这两个层面上都有这些有什么用处？
• 这两种方法各自的效果是什么？
• 应该如何以及何时将它们一起或单独使用？

在这方面的任何帮助将不胜感激。谢谢。