问题标签 [xacml2]

我按照链接在 XACML 上使用 SAML 信封运行 pdp。然后我创建了 web 服务（ pdp 和 pdpclient - 换句话说 XACML 请求生成器）。在这里，每件事都运行良好，即生成请求并使用给定的（由以下链接给出的测试策略）策略获得完美的结果。

现在我用我的策略测试 pdp ！！但是（在我看来） pdp 没有正确评估政策。例如，这是我的政策

这是我的要求

Subject-Id: urn:oasis:names:tc:xacml:1.0:subject:outside-university, Subject-Value: Staff

Arttibute-Id: urn:oasis:names:tc:xacml:1.0:resource:file123，属性值：服务器文件

Action-Id: urn:oasis:names:tc:xacml:1.0:action:delete123, Action-Value: Delete

我得到的响应是Deny。如您所见，MustBePresent = true在 Policy-Target 和 Request 的 Subject、Resource 和 Action 中包含 none 的 Id。根据 XACML 2.0，如果 MustBePresent 为真且请求中不存在 ID，则目标将是不确定的。如果目标是政策目标，那么整个政策将是不确定的。但是在这种情况下，在策略目标不确定后，PDP 仍然根据规则组合算法评估规则并做出结果。

让我知道我是否错了。

嗨，我正在使用WSO2 Balana XACML，我发现wso2他们提供的示例正在从resource folder. 我不想从文件系统加载策略，因为我想从数据库加载它，或者我将提供服务 URL，他们的 PDP 将检查传入请求的策略，或者是他们的任何其他方式建议。

嗨，我经历了许多有关 XACML 的用例，但我不知道在 PDP 中加载策略的最佳方式是什么。根据 OASIS 定义的 PDP 工作流程，我理解传入请求何时到达 PDP。PDP 负责根据请求匹配相应的策略。

由于 PDP 将匹配每一个策略，所以想想我有 10,000 个策略存储在分布式环境中的场景，那时会发生什么。匹配会消耗越来越多的时间，这不是匹配策略的有效方式。

我需要对这个问题做一些澄清：

1. 如何在不同的服务器上分发策略？

2. 如果我在不同的服务器上分发策略，那么我的 PDP 将如何识别并从特定服务器获取相应的策略？

3. PDP 识别与传入请求匹配的确切策略的最佳方式是什么？

我浏览了 XACML 文档，它解释了如何在 XML 文件中维护授权策略，同样可以通过将策略保存在数据库中来完成，我的问题是在 XML 文件中存储策略（如 XACML）而不是 DB 方法的优势是什么，因为归根结底，它只是解析 XML 或查询数据库。

我为授权创建了一个 XACML 文件，如下所示：

我正在做基于 balana 的验证，但出现以下错误：

但我已经提到了资源 ID，相同的代码适用于 balana 测试策略文件，不同之处在于我使用的是策略集而不是“策略”。

我想以编程方式生成 XACML 2.0 策略。有没有办法做到这一点或将一组 XACML 3.0 策略转换为 XACML 2.0 策略？

谢谢

创建 XACML 策略后尝试将其发布到 PDP，但出现错误

[2014-07-10 06:30:15,910] 错误 - ApplicationDispatcher Servlet.service() for servlet bridgeservlet 抛出异常 java.lang.NoSuchMethodError: org.wso2.carbon.identity.entitlement.stub.EntitlementPolicyAdminServiceStub.publishPolicies([Ljava/ lang/String;[Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;ZI) at org.wso2.carbon.identity.entitlement.ui.client.EntitlementPolicyAdminServiceClient.publish(EntitlementPolicyAdminServiceClient.java:414)在 org.apache.jsp.entitlement.publish_002dfinish_jsp._jspService(org.apache.jsp.entitlement.publish_002dfinish_jsp:133) 在 org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:111) 在 javax.servlet.http .HttpServlet.service(HttpServlet.java:848) 在 org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:403) 在 org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:492) 在 org.apache.jasper.servlet.JspServlet.service(JspServlet.java:378) 在 javax.servlet.http.HttpServlet.service (HttpServlet.java:848) 在 org.wso2.carbon.ui.JspServlet.service(JspServlet.java:155) 在 org.wso2.carbon.ui.TilesJspServlet.service(TilesJspServlet.java:80) 在 javax.servlet。 http.HttpServlet.service(HttpServlet.java:848)80) 在 javax.servlet.http.HttpServlet.service(HttpServlet.java:848)80) 在 javax.servlet.http.HttpServlet.service(HttpServlet.java:848)

您能否建议解决上述错误。

谢谢，阿西特

我正在写一些关于 ALFA 插件的管理策略，但我发现它没有这样的功能。有人知道这个方面吗？

拜托，我想知道如何为动态控制编写 XACML 策略。我想控制用户使用时间或日期访问属性的权限。

我想宣布一些政策喜欢：

如何编写这种策略。

我查看了“XACML3.0 核心规范”、“Multiple Profile”，他们说

我认为这意味着在策略文件中，我不能在 AttributeValue 中使用 XPath 来引用多个资源，就像我首先说的那样，对吧？因为请求被解析为单个请求，每个请求都请求具有指定属性 id 的资源。

规范中是否有我遗漏或误解的内容？或者任何人都可以建议一个更好的方法来做我想做的事吗？

现在我想知道在资源中使用正则表达式是否可以做到这一点。对应的函数是 urn:oasis:names:tc:xacml:1.0:function:string-regexp-match。

PS：我正在尝试为我的公司设置授权服务器，XACML 似乎是一个不错的起点。但我周围没有人知道这件事。如果有人能给我有关设置访问控制系统的任何建议，我将不胜感激。