问题标签 [authzforce]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 允许访问 XACML 失败
我目前正在尝试为应用程序实现 XACML,并且刚刚开始使用 AuthZForce 库来解决它。我有一个示例策略,例如:
所以我尝试根据这个策略创建 XACML 请求,希望 PDP 允许它,代码如下:
但是当我运行代码时,它给出了 NotApplicable 的结果,但我不知道为什么。我的代码有错误吗?
authorization - 在哪里对 PDP 中的 Attribute-Providers 仔细检查 XACML 请求的属性?
我正在评估 PDP 引擎,目前我尝试使用 AuthzForce Core。到目前为止,通过 PDP 评估请求运行得非常可靠:
现在,根据[1]之类的文献,我不应该信任给定 request-xacml 文件中的属性。只要有可能,我必须检查属性提供者(例如患者数据库)是否给定属性(例如患者出生日期)实际上属于患者以防止攻击。
否则,攻击者可以使请求中的患者更年轻,以便以父母监护人的身份访问患者的记录。
问题
- 根据属性提供者检查请求是 PDP 还是其他实体的任务?
- OASIS 是否具体说明了该问题?例如配置文件的工作流程或语法
- 有没有办法让我的 pdp 引擎知道属性提供者?
- 我之前应该自己检查提供的请求
Response response = pdp.evaluate((Request) request);吗?
java - 使用 MongoDB for Authzforce 以 JSON 格式存储 XACML 文件
我想使用您在自述文件中提到的 authzforce-ce-core-pdp-engine jar 文件实现 PDP 引擎,但 XML 中的策略文件除外应该是动态的。主要思想类似于文件共享系统,因为一个用户可以将多个文件共享给其他用户,每个文件可能有不同的策略。我正在考虑将策略文件存储在 MySQL 或 MongoDB 等某种数据库中,PDP 将引用它并根据请求决定授予或拒绝访问。
我发现 pdp 核心引擎支持这里提到的 MongoDB 。
这是我的 pdp 配置文件:
所以现在的问题是如何存储策略 XML 文件,因为它需要使用 MongoDB 存储在 JSON 中?我尝试使用JSON maven 依赖项将 XML 转换为 JSON ,但在转换回 XML 时遇到问题。例如,使用这样的策略 XML 文件,它将创建如下所示的 JSON 文件:
但是当我尝试将它转换回 XML 时,它变成了完全不同的 XML 文件。那么现在如何将 XML 文件存储在 MongoDB 中?另外如何确保 pdp 引擎核心可以找到正确的策略进行比较?我看到在自述文件中提到了这样的 json 适配器,但我不确定如何正常实现它。
fiware - Authzforce 权限创建问题
我想获得通过 id 获取实体的权限,但是这个问题也适用于需要一些变量的任何路由。
我找不到这方面的一些例子,也不确定我应该使用什么语法。
因为现在当我执行 get 时,我被 authzforce 拒绝,因为他读取 url 喜欢
v2/entities/Test并将其与其权限进行比较,并且预计没有权限。
因此,我必须更改才能使其正常工作,我尝试使用 v2/entities/{id} v2/entities/{{id}} 等等。
任何建议都会有所帮助
fiware - Fiware IDM:动态权限资源
我在 Docker 中部署了一个基于 Fiware 通用启用程序的应用程序。版本是:
- 猎户座 1.14
- 天鹅座 1.9.0
- 授权 5.4.1
- Keyrock:最新的
- Pep 代理:7.0.1
但是,当我想在 keyrock 中创建权限时,我找不到特定的语法或字符序列来在资源字段中输入动态资源,例如:/resource1/<user>/info,或仅指定资源前缀,例如:/resource2/<whatever>。
动态资源的语法确实存在,并且 authzforce 可以创建与动态资源关联的权限,还是有必要创建 XACML 规则?
heroku - 使用 Authzforce 实现 geo XACML 并将其托管在 heroku 上
我对这两个主题都是全新的。有人可以帮助我逐步教程来实现它们吗?也可以建议他们两者的替代方案。
fiware - 监控 Orion Context Broker 以创建新的 XACML 规则
我想知道是否有可能实现这种工作环境:
我正在通过 PEP、PDP、PAP 等构建安全的 Orion 上下文代理。我希望,如果 Orion 存储属性的异常值,则会发送警报(例如电子邮件)和新的 XACML规则已创建,因此角色用户可以查看这些值(在此之前,他不必拥有查看它的权限)。
是否可以?如果是,我该如何实现?有没有办法通过詹金斯做到这一点?
fiware - XACML 规则中如何使用 Fiware 服务和服务路径?
我们正在研究 Keyrock + Wilma + AuthZForce 以保护我们运行 Orion 和 Quantum Leap 的 FIWARE 系统。我们系统中的实体在服务和服务路径下。这些通过适当的标头访问,即 Fiware-Service 和 Fiware-Servicepath。
我正在尝试为 AuthZForce 创建包含服务和服务路径的 XACML 规则,但尚未成功。如果有人能够这样做,我将不胜感激。此外,如果这种方法是错误的,我将不胜感激有关如何将服务和服务路径与 FIWARE 访问控制一起使用的其他建议。
java - 添加 MongoDB 策略提供程序扩展后的 RuntimeException
我已经制作了自己的 MongoDBPolicyProvider 并将其集成到 Authzforce 服务器中,但由于此异常,我无法启动 webapp(docker image fiware/authzforce-ce-server,release-8.1.0):
我认为它仍在尝试从StaticFlatFileDAORefPolicyProvider策略提供者那里检索策略。
- 扩展的 .jar 在服务器的类路径中可见。
- 这是我的 pdp 配置文件:
- 这是 MongoDBBasedPolicyProviderDescriptor:
我现在已经完成了两次整合PRP的过程,但我还没有成功。我将不胜感激这方面的任何帮助。
fiware - 如何根据实体类型授予权限?
我正在尝试根据 Orion 将要保存的实体类型设置权限。由于权限与“端点”相关联,因此我尝试将其设置为端点 /entities?type=Truck (例如)。问题是它告诉我(Keyrock 通过 PEP 响应)用户在应用程序中没有被授权。我查看了数据库中的所有连接,在我看来,他已获得授权,拥有他的角色、权限和分配的组织,所有这些都在已创建的唯一应用程序中。
在本教程中,POST 请求会出现类似的情况,但这是因为在消息正文中发送了实体类型。在 GET 的情况下,我看不太清楚,因为它在 URL 中,但尝试这个并没有奏效。
有可能不应该以这种方式完成吗?应该如何创建这种类型的权限?