问题标签 [authzforce]

我将使用 OAuth2 和 XACML（使用 AuthZForce、Balana、AT&T XACML 或类似的东西）保护我的 Spring Cloud 应用程序。

我想使用 Spring-Cloud(-Netflix) 的微服务。为了使 XACML 可用，我认为我需要这个：

1. 每个现有 API 服务的 PEP
2. PDP 作为 PEP 使用的新服务。因为 Spring-Cloud(-Netflix) 具有负载平衡功能 (Eureka)，我需要在 Eureka 上注册此服务并实现 REST-API。
3. 因为所有 PDP 都应该使用相同的策略，所以它们需要集中存储（策略提供者）

哪个框架最适合这种方法。

更新 1 应该可以使用 AuthZForce（根据功能描述），但我不太确定如何（没有详细的文档或教程）。

我正在开源世界中寻找有据可查的 XACML3-Framework。我尝试了 AuthZForce 和 AT&T XACML。两者似乎都有很多特点。问题：要让它们运行，我必须阅读源代码或找到测试类。没有任何示例或任何其他内容有助于理解框架的功能。我认为 XACML 是授权的未来，但在底层并没有真正的社区。

ABAC 实现是否有 XACML 替代方案，或者没有其他方法，我必须使用带有编程约束的 RBAC？

我想在 Orion Context Broker NGSI API 级别提供访问控制，以确保真正的数据隔离。我想确保租户只能查询/更新他们的上下文，而不是另一个租户的上下文。

为此，我开始在 Orion Context Broker 前面放置一个Wilma PEP 代理实例。然后我基于官方IdM Keyrock docker镜像配置了我自己的 Identity Manager keyrock GE 实例，并基于官方AuthzForce docker 镜像配置了我自己的 Authorization PDP GE 。

经过几天的配置和多次尝试，我终于可以让这三个安全通用启动器正常工作，使用PEP 代理级别 2对 Orion Context Broker NGSI API 的请求进行身份验证和授权。

但是，2 级授权不足以确保我想要什么，因为服务（租户）和子服务（应用程序路径）信息都在请求的标头中。特别是在 Fiware-Service 和 Fiware-ServicePath 标头中。为了构建基于标头的授权策略，您需要使用级别 3：XACML 授权。

问题是我在 Fiware 的官方文档中进行了一些挖掘，但我找不到任何 XACML 策略的示例。除了 Wilma PEP Proxy 的官方文档（请参阅此处）说，您可能必须修改 PEP Proxy 源代码才能获得此级别的授权。

由于这种情况被认为是检查请求的高级参数，例如正文或自定义标头，因此这取决于具体的用例。因此，程序员应该修改 PEP 代理源代码以包含特定要求。

这有可能吗？

我真的需要修改 PEP 代理源代码来实现租户只能访问他的数据这样简单的事情吗？

我正在尝试按照官方文档安装 FIWARE AuthZForce 5.4.1，但没有成功，因为 Tomcat7 在安装过程中没有启动，如下所示。

还有另一种安装 AuthZForce 的方法吗？文档很差。由于未正确安装 AuthZForce，我收到了众所周知的“未为应用程序创建 AZF 域”消息，如下所述：

Fiware AuthZForce 错误：“未为应用程序创建 AZF 域”

“未为应用程序创建 AZF 域” AuthZforce

任何人都可以帮助解决这个问题吗？

我正在尝试使用 IDM+AuthZForce+PEP-Proxy-Wilma 来保护 Orion 上下文代理，但我遇到了一些麻烦，没有任何效果，一切都已启动并运行，但没有 autentication 并且没有安全。

我更改了所有配置文件，但没有任何改变。我尝试填充数据库（mongoDB 或 PostgreSQL），也没有任何改变。所有服务都在 docker-compose 实例中运行。Anyonce已经成功部署了这个？

I've extended a policy set to include a new policy, which means I've added targets to the policies to ensure that a request targets the right policy.

here is the policy set xacml:

So when I want to check the second policy (whether an App is allowed in Prod) I send a request like:

Which returns what I expect:

So far so good.... But when I send this:

I don't get a similar response to the first one (but a Permit), I get this:

Now you might think that the policy is defined incorrectly, so I then sent this:

I got what I expected - A Deny, with not Target missing errors:

so Why is the PDP getting confused for this one policy (that looks to my eyes the same as the other that works correctly....yes I get a permit when the App is in the list in the policy)?

why does it think the attribute for the target is missing completely (instead of having just the wrong value)? And Why is it doing this for the condition attribute?

我正在使用 Fiware 开发一个新应用程序，并且我有兴趣为此使用特定的 Fiware GE 添加一个安全层：

• IdM Keyrock
• 威尔玛 PEP 代理
• AuthZForce PDP

从本教程开始，我首先设置了我自己的这些组​​件的本地安装。几分钟后，我能够成功安装并运行所有三个组件。

然后我开始创建应用程序、角色、权限、为用户分配角色等等。事情是在玩了一段时间后 AuthZforce 组件崩溃了，我不得不重新启动它。之后，我注意到所有策略和域都从 AuthZForce 中删除。

我做了一些挖掘，发现所有的东西都保存在内存中供 AuthZForce 使用，也保存在 IdM 数据库中，所以如果你的 AuthZForce 崩溃，那么你会丢失所有的策略和应用程序域，除非你从 IdM 数据库中恢复它。

问题是当您重新启动 AuthZForce 时，存储在 IdM 数据库中的所有策略和应用程序不会自动与 AuthZForce 同步。要强制同步，您必须对应用程序进行一些更改，例如使用 IdM Web 界面更改应用程序描述。然后 IdM 重新创建应用程序域和所有应用程序策略。

有什么理由会这样吗？为什么同步没有自动完成？AuthZForce 本身能否负责策略的持久性？

我正在探索 Authzforce XACML3.0，但一直遇到问题。我不断得到我的回答不确定。下面是我的设置和它抛出的异常跟踪。任何帮助表示赞赏。

请求文件：

政策文件：

PDP 配置文件：

异常跟踪：

例外情况说袋子是空的或超过 1 个，但我不认为这是我根据需要提供数据的问题。任何帮助表示赞赏

我正在尝试使用 Authzforce PDP 引擎（Web API）根据以下策略评估一些请求。

但是，当我想将此策略设置为根策略（以激活此策略）时，我收到以下错误。

我认为我的政策可能有问题。你能告诉我有什么问题吗？

我使用 docker compose 部署了Orion、Cygnus、Keyrock 和 PEP 代理，正如您在存储库中看到的那样。但是实现的安全级别并不是我们想要的。

使用这个Python 包，在函数的第一次调用中，它使用管理员用户获取令牌，稍后获取 Orion 上的所有实体。但是在第二次调用中，这些函数在 keyrock 应用程序中创建了一个没有任何授权的新用户，尽管这样可以获取实体。

然后，尝试在这个 docker compose 文件上实现 Authzforce，得到了这些结果，而没有向同一个管理员授予访问权限：

而控制台上的这个错误

在这里你有我所有的 authzforce 配置：

Local_Settings GE 访问控制

Pep 代理配置

azj.js cast 就链接 8 上的问题推荐

问题 36 pep 代理（错误仍然存​​在）