问题标签 [alfa]

我正在尝试提出一个规则，即字符串必须以ABC但不是ABC123, ABC456,开头ABC789。

我正在尝试写这个来评估一个字符串包，任何指针都非常感谢。

我想使用 RoR（Ruby on Rails）实现基于属性的访问控制（ABAC）策略。我找到了一个名为 (IronHide) 的授权库。我想知道如何根据我的应用程序创建规则和使用这个库。

我有一个用 node js 制作的 API REST，现在我想实现一些 XACML 策略。我一直在寻找，我发现我可以使用 ALFA 来制定 XACML 规则。但我需要一个 PDP 来应用这些规则。我可以使用什么/如何实现它？

我已经阅读了有关 WSO2 身份服务器的信息（我认为我可以将其用作 PDP？我不确定）。对于一个小项目来说，这可能太多了。还有其他建议吗？或者 WSO2 是否合适？

我正在尝试检查 XACML 策略。我的主题（urn:ch:xxxx:attribute:subject:1.0: participantid）中有一个很长的上下文，我希望在我的长列表中找到它（urn:ch:xxxx:attribute:resource:1.0: particiencyids）资源上下文。我正在尝试使用函数integer-is-in来做到这一点。

到目前为止我已经尝试过：

我已经对此进行了测试，并且效果很好。

那么我应该如何传递主题属性以便它工作呢？还是函数integer-is-in错误的方式？

问候

克里斯蒂亚诺

我有一个棘手的问题（至少对我来说）要解决

简而言之：

1. 公开单个 URL（静态页面）的 Web 服务器
2. 该 URL 只能在上午 9 点到下午 5 点（每天）之间访问
3. 整个事情应该通过XACML来实现

问题

• 为了实现我的目标，我实际上需要什么？
• 我应该安装任何 XACML 的 Oracle 实现吗？它是免费的吗？
• 其他 XACML 实现是否合适？我指的是 WSO2 Balana
• 我应该使用哪些工具？
• 我应该如何开始？

非常感谢

我正在尝试决定为项目做哪些授权技术/方法，而 XACML 有很多有趣的功能。不过，我无法理解的一件事是需要组合算法。是否存在需要它们的复杂场景？

说，相反，对资源类型（或其他）的访问默认是允许或拒绝。规则定义了允许或拒绝（从不同时）的条件。

如果有任何拒绝，它就会被拒绝（立即）。如果它是“默认拒绝”并且没有许可，它也被拒绝。规则可以具有优先级，并且任何更高级别的允许/拒绝将覆盖低于它的那些。

规则将是更零碎的允许/拒绝，而不是具有高级组合算法的一条大规则。

我是否错过了这种方法无法涵盖的一些主要场景（可能）？也许是一个很难回答的问题 :) 希望有很多 XACML 经验和/或访问控制的人可以对设计思维和他们对此类政策的经验有所了解。

提前致谢！

编辑：（作为对乔治的回复，因为太长了）

非常感谢您回答大卫！读了很多你的帖子和文章，好东西。

我听到你在说什么，并且有很多错综复杂的东西（阅读一些设计决策和评估逻辑的电子邮件列表，哇，毛茸茸的东西:) 但似乎层次结构增加了很多复杂性，我不太明白为什么需要它。

根据我写的逻辑，我可以只有这两个规则（如果我正确理解 XACML）

• 如果用户在单元中，则授予访问权限
• 在一组特定情况下否认
• 如果它是全公司范围的规则，甚至可以取消 DENY 规则的业务部门限制，这似乎应该是

单独定制规则似乎比将它们作为一条大规则的一部分更容易，如果你这样编写它们，真的需要将它们视为一条规则吗？我想你会有一种允许一般情况并否认例外的一般心态。

所以第二个示例，这就是为什么我认为您实际上需要“优先级”来解决某些问题。

由于它在任何“优先级”上的 PERMIT 或 DENY 上短路，并且按顺序对其进行评估，结果不一样吗？编写低优先级规则的人实际上并不需要了解具有更高优先级的规则。

最后一个例子是：

（我的意思是也必须有其他规则：）

由于 DENY 会覆盖 Permit，因此任何 DENY 都会拒绝您的设置。

我想我很难看到这种方法无法处理的边缘情况......也许我有一个头放屁:)

再次抱歉，问题的范围有点宽。

决定是允许用户是否具有所需的角色。所需角色和用户当前权限为 JSON 格式。

所需权限：（另存为属性）

用户当前权限：

为了做出决定，我们需要检查用户是否拥有类似于所需权限的服务。在上面的示例中，用户将 data.service1.service1.1 设为 true，data.service2.service2.3 设为 true，其中所需角色 data.service1.service1.1 设为 true，data.service2.service2.2 设为是的，在这种情况下，我们否认。

我编写了单独的规则来检查每个服务，但这只是对服务组合的检查。

有人可以帮忙写一个 if .. 然后签入 alfa 吗？

我将 XACML 与多个策略集和策略一起使用。这些策略共享相同的变量，我希望能够在某种“全局”字典中定义它们。虽然这似乎是相当基本的要求，但我找不到任何有关此类选项的文档、示例或讨论。有什么办法吗？

谢谢。

在 wso2 身份服务器中如何添加自定义权限，例如为角色用户操作关联权限创建、更新、删除。我怎样才能创建这样的权限。

如何通过使用 XACML 策略中的角色和权限来使用这些分配的权限进行验证。

我已经创建了一个Standard Policy Editor基于主题名称的 XACML 策略，该主题名称是用户名，我正在获取角色属性并正在验证，但是如何使用 XACML 验证与其关联的权限。是否有可能在 wso2 XACML 策略中实现这个用例？

我正在为我的硕士论文编写 XACML 策略，但遇到了明显的语法错误。它突出了第一行；但是，我不确定。我对 XML 很陌生，所以这可能是一个非常愚蠢的错误 :)

作为参考，我在 Notepad++ 中编写这些策略，然后在 authforce PDP 中对其进行测试。当我在 authforce 中运行它时，我得到了错误......

“线程“主”java.lang.reflect.InvocationTargetException 中的异常”

非常感谢任何对任何事情的反馈:)