考虑一个主题和对象都具有如下定义的标签：

subject/object label = [i1, i2, ..., in]，哪里i是subjectId另一个主题。

在策略 (ALFA/XACML) 中，如何对主题和对象标签进行比较，以使两个列表中的元素都不相同。

例如：

最终的决定将是DENY两个标签都包含i9. 如果在任何列表中都找不到匹配项，则访问结果将为PERMIT.

让我们假设一个主题将每秒请求访问许多对象的场景。单个 PDP 上的重负载意味着每个请求的等待和读/写时间增加。

到目前为止，我已经使用AuthzForce Core 项目设置了一个 PDP，为此我有一个 for 循环发送多个请求（这可以使用线程同时完成）。但是，这似乎不是在分布式环境中评估我的策略的合适设置。

有什么办法可以做到吗？也许使用AuthzForce 服务器？

编辑：

我正在运行一个使用 Authzforce Core 的 Java 应用程序。该程序创建一个加载单个策略文档的 PDP 实例，然后 for 循环执行多个请求。这一切都是在程序本身内本地完成的。

Below is an XACML policy, for Chinese Walls, which uses stringAtLeastOneMemberOf to compare two attributes two see if they contain the same value of a list of values.

I.e. if the subject requesting access to an object has a label [1, 4, 5] and the object has a label [2, 3, 5] then access will be denied as both contain 5.

The Chinese Wall Policy

ALFA Code

XACML policy

Policy Enforcement Point (PEP) Code

I am using the Authzforce Core PDP for Java to emulate the PDP and I evaluate the request as follows:

The JSONObject in this case is just how I send the request from my client to the PDP engine. Other policies work, the problem here is I am sending a String i.e. "[2, 4, 5]" to the bag, but it always results in a NotApplicable. Is there are list type that I should be using here instead to conform with the policy?

Here is the JSON I am sending:

Challenge

To be more precise, the JSON output in the java code to Authzforce for the conflict set will be a string i.e. "[2,3,5]" whereas I think this needs to be another format (since it always results in NotApplicable), but this is my question.

我正在测试 Authzforce Server 应用程序以输入 XACML 策略并测试 XACML 决策请求。我正在尝试输入我的第一个 XACML 策略集。问题是我总是得到一个没有响应正文的 409 冲突响应，尽管当我通过 ID 和版本检索策略集时，它显然已成功保存在数据存储中。

这是我输入的策略集：

...使用服务端点 POST /domains/domain-id/pap/policies。该服务以 409 响应，没有关于实际冲突的详细信息，但是当我尝试使用...检索策略时

获取 /domains/domain-id/pap/policies/PolicySetExample/1.0

...然后我看到策略集已保存，我得到策略集文档，其中包含对名为“ComplexPolicy”的策略的策略 ID 引用：

我已经检查了 /var/log/tomcat8/authzforce-ce/error.log 中的 Authzforce 日志文件，但与此特定错误无关。

欢迎任何想法和指点。

编辑：是否与Authzforce的默认“root”策略集发生冲突？

谢谢， 安德拉斯

我想使用 AuthzForce 的策略决策点 (PDP) 来评估请求（参考：https ://github.com/authzforce/core#java-api ）。这些请求不是 XACML 3.0 格式，而是 XML 格式，其中包含不属于 XACML 的附加元素。请求包含 XACML 3.0 格式的所有元素和其他元素（如数据源、目的等）。

有没有办法将 AuthzForce 的 PDP 与不是 XACML 3.0 格式的请求一起使用？

我有一个已经存在的 XML 格式，看起来像这样（简化）：https ://www.codepile.net/pile/zJrq1XeA

现在我想扩展它以支持使用 XACML 的访问控制。我最初的想法是将 XACML 元素添加到 XML 文件中，但接下来的问题是我是否仍然可以使用 AuthzForce 对其进行评估。目的列表将是我的策略集，目的是策略，并且在目的下我将包括我的规则。

我正在使用 Authzforce PDP 引擎和配置 pdp.xml 文件运行 XACML，如下所示：

现在，${PARENT_DIR}/policy.xmlPDP 引擎通过 rootPolicyProvider 读取的文件包含实际的 XACML 策略并且变得相当大。因此，我想将 XACML 策略划分为多个文件 policy1.xml、policy2.xml、policy3.xml 等。然后这些文件需要由 PDP 引擎读取。

有谁知道 PDP 引擎配置 xml 文件是否能够使用多个 policyProviders 或其他方式指定这一点？这应该不会太难，但是在网上搜索了几个小时后，我还没有找到任何解决方案。

期待您的回复。

谢谢，杰克。

我基本上想在多租户系统中使用Authzforce 。

现在，我有一个单一的根策略，其中包含一些PolicySetIdReference指向其他策略集（每个组织）的元素，但我注意到它会尝试解析每个引用元素并查询数据库（我设置了自己的MongoDbBasedRefProvider. 我担心我会不必要地为其他组织加载所有其他策略。

我是否能够让根策略提供者检查一些条件（基于组织），以便我检查的策略明显更小？在上面的示例中，我只想检索一个ID-for-org-1

我应该多久重复一次这个对象？总是或每次授权请求都创建一个新的？在缓存方面，我是否缓存BasePdpEngine策略提供程序或我的策略提供程序？

我期待很多授权请求，所以我不确定要考虑哪种优化。

我刚刚开始按照文档尝试Authzforce Fiware。我使用提供的 RESTful 接口按照给出的示例制作了一些 RBAC 场景。

我想知道的是，是否存在用于管理策略管理部分（创建、编辑、删除策略等）的用户界面。

据此_

Authzforce 本身不提供 UI，也不关心 XACML 策略的生成和管理——它假定它接收到的每个策略都已经由另一个组件生成。成熟的 XACML 编辑器可用，但 Keyrock 中的有限编辑器通常足以满足大多数访问控制场景。

内部不存在任何内置的 UI 解决方案，Authzforce并建议作为此处提出的Keyrock解决方案。

我说对了吗？任何人都可以向我提供有关我可能Keyrock与现有集成的方式的任何指导方针，Authzforce PAP以便我可以从它的编辑器中管理我的策略吗？

提前致谢。

我的情况是我有一个包含多个规则的策略，并且所有规则都必须为真，才能使策略为真。例如：

为了Policy A适用，我需要所有三个规则都返回 true，如果其中一个返回 false，它应该检查我的策略集中的其他策略

我现在拥有的是

我认为我的问题是我的规则都没有返回“拒绝”，但我最初认为如果不允许，则应该拒绝。我想过不要在我的所有规则上加上一个，但这会使其不雅。

如果相关，我正在使用 Authzforce 库。