问题标签 [alfa]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
authorization - Xacml 策略测试字符串包中字符串的出现
我正在尝试提出一个规则,即字符串必须以ABC
但不是ABC123
, ABC456
,开头ABC789
。
我正在尝试写这个来评估一个字符串包,任何指针都非常感谢。
ruby-on-rails - 如何使用 RoR 实施 ABAC 策略
我想使用 RoR(Ruby on Rails)实现基于属性的访问控制(ABAC)策略。我找到了一个名为 (IronHide) 的授权库。我想知道如何根据我的应用程序创建规则和使用这个库。
rest - 我可以将什么用作 XACML PDP?
我有一个用 node js 制作的 API REST,现在我想实现一些 XACML 策略。我一直在寻找,我发现我可以使用 ALFA 来制定 XACML 规则。但我需要一个 PDP 来应用这些规则。我可以使用什么/如何实现它?
我已经阅读了有关 WSO2 身份服务器的信息(我认为我可以将其用作 PDP?我不确定)。对于一个小项目来说,这可能太多了。还有其他建议吗?或者 WSO2 是否合适?
authorization - XACML:如何在 long 列表中找到 long(列表包含)
我正在尝试检查 XACML 策略。我的主题(urn:ch:xxxx:attribute:subject:1.0: participantid)中有一个很长的上下文,我希望在我的长列表中找到它(urn:ch:xxxx:attribute:resource:1.0: particiencyids)资源上下文。我正在尝试使用函数integer-is-in来做到这一点。
到目前为止我已经尝试过:
我已经对此进行了测试,并且效果很好。
那么我应该如何传递主题属性以便它工作呢?还是函数integer-is-in错误的方式?
问候
克里斯蒂亚诺
authorization - 仅在特定时间可访问的 URL XACML
我有一个棘手的问题(至少对我来说)要解决
简而言之:
- 公开单个 URL(静态页面)的 Web 服务器
- 该 URL 只能在上午 9 点到下午 5 点(每天)之间访问
- 整个事情应该通过XACML来实现
问题
- 为了实现我的目标,我实际上需要什么?
- 我应该安装任何 XACML 的 Oracle 实现吗?它是免费的吗?
- 其他 XACML 实现是否合适?我指的是 WSO2 Balana
- 我应该使用哪些工具?
- 我应该如何开始?
非常感谢
authorization - 为什么在访问控制中结合算法?
我正在尝试决定为项目做哪些授权技术/方法,而 XACML 有很多有趣的功能。不过,我无法理解的一件事是需要组合算法。是否存在需要它们的复杂场景?
说,相反,对资源类型(或其他)的访问默认是允许或拒绝。规则定义了允许或拒绝(从不同时)的条件。
如果有任何拒绝,它就会被拒绝(立即)。如果它是“默认拒绝”并且没有许可,它也被拒绝。规则可以具有优先级,并且任何更高级别的允许/拒绝将覆盖低于它的那些。
规则将是更零碎的允许/拒绝,而不是具有高级组合算法的一条大规则。
我是否错过了这种方法无法涵盖的一些主要场景(可能)?也许是一个很难回答的问题 :) 希望有很多 XACML 经验和/或访问控制的人可以对设计思维和他们对此类政策的经验有所了解。
提前致谢!
编辑:(作为对乔治的回复,因为太长了)
非常感谢您回答大卫!读了很多你的帖子和文章,好东西。
我听到你在说什么,并且有很多错综复杂的东西(阅读一些设计决策和评估逻辑的电子邮件列表,哇,毛茸茸的东西:) 但似乎层次结构增加了很多复杂性,我不太明白为什么需要它。
根据我写的逻辑,我可以只有这两个规则(如果我正确理解 XACML)
- 如果用户在单元中,则授予访问权限
- 在一组特定情况下否认
- 如果它是全公司范围的规则,甚至可以取消 DENY 规则的业务部门限制,这似乎应该是
单独定制规则似乎比将它们作为一条大规则的一部分更容易,如果你这样编写它们,真的需要将它们视为一条规则吗?我想你会有一种允许一般情况并否认例外的一般心态。
所以第二个示例,这就是为什么我认为您实际上需要“优先级”来解决某些问题。
由于它在任何“优先级”上的 PERMIT 或 DENY 上短路,并且按顺序对其进行评估,结果不一样吗?编写低优先级规则的人实际上并不需要了解具有更高优先级的规则。
最后一个例子是:
(我的意思是也必须有其他规则:)
由于 DENY 会覆盖 Permit,因此任何 DENY 都会拒绝您的设置。
我想我很难看到这种方法无法处理的边缘情况......也许我有一个头放屁:)
再次抱歉,问题的范围有点宽。
xacml - 如何在 Axiomatics 中编写“If..then”条件
决定是允许用户是否具有所需的角色。所需角色和用户当前权限为 JSON 格式。
所需权限:(另存为属性)
用户当前权限:
为了做出决定,我们需要检查用户是否拥有类似于所需权限的服务。在上面的示例中,用户将 data.service1.service1.1 设为 true,data.service2.service2.3 设为 true,其中所需角色 data.service1.service1.1 设为 true,data.service2.service2.2 设为是的,在这种情况下,我们否认。
我编写了单独的规则来检查每个服务,但这只是对服务组合的检查。
有人可以帮忙写一个 if .. 然后签入 alfa 吗?
authorization - 有没有办法从 XACML 策略外部定义变量并从策略规则内部引用它们
我将 XACML 与多个策略集和策略一起使用。这些策略共享相同的变量,我希望能够在某种“全局”字典中定义它们。虽然这似乎是相当基本的要求,但我找不到任何有关此类选项的文档、示例或讨论。有什么办法吗?
谢谢。
authorization - 在 wso2 IS XACML 策略中如何验证角色及其权限
在 wso2 身份服务器中如何添加自定义权限,例如为角色用户操作关联权限创建、更新、删除。我怎样才能创建这样的权限。
如何通过使用 XACML 策略中的角色和权限来使用这些分配的权限进行验证。
我已经创建了一个Standard Policy Editor
基于主题名称的 XACML 策略,该主题名称是用户名,我正在获取角色属性并正在验证,但是如何使用 XACML 验证与其关联的权限。是否有可能在 wso2 XACML 策略中实现这个用例?
xml - XML (XACML) 语法错误 - 应为字符串文字
我正在为我的硕士论文编写 XACML 策略,但遇到了明显的语法错误。它突出了第一行;但是,我不确定。我对 XML 很陌生,所以这可能是一个非常愚蠢的错误 :)
作为参考,我在 Notepad++ 中编写这些策略,然后在 authforce PDP 中对其进行测试。当我在 authforce 中运行它时,我得到了错误......
“线程“主”java.lang.reflect.InvocationTargetException 中的异常”
非常感谢任何对任何事情的反馈:)