问题标签 [xacml2]

我写了一些义务和建议，但我想知道是否有一种被广泛接受/或正式的方式来正确地做到这一点？换句话说：在 ALFA 中是否有使用义务和建议的标准或首选方式？

我真的很想看一个例子，如何在拒绝和允许时总是触发（在每个请求上）的分层策略中定义义务（例如记录每个请求）及其内容？或者您是否必须为每个策略集/策略和规则定义单独的义务？

您是否必须定义此类义务的确切内容，或者这取决于 PEP 的功能？

首先用户可以同时拥有多个角色，并且角色具有作用域。例如，一个用户具有三个角色：/scopeA/editor、/scopeA/programmer、/scopeB/editor

并且 /scopeA/editor 可以访问资源 /scopeA/post /scopeA/programmer 可以访问资源 /scopeA/bug

所以问题来了：

我如何声明一个策略说：如果角色包中有一个名为“/XX/editor”的角色，那么当“XX == YY”时，相应的用户可以访问“/YY/post”

我在这里找到了一个类似的问题，我提出了一个解决问题的方法，但是当涉及到多个角色（角色属性值是一个包）时，我的答案是不对的。因为角色属性值是一个包，我不能只获取角色属性值的前两个斜杠之间的部分，然后与资源属性进行比较，

然后我试图找到一个高阶包函数来做到这一点，“urn:oasis:names:tc:xacml:3.0:function:any-of”函数可以做到这一点，但是第一个“函数参数”呢任何功能？

这是我所做的：any-of 函数的第一个参数是“string-equal”，第二个参数是用于获取资源 ID 的前两个斜杠之间的部分的函数，第三个参数是主题的属性值是一个袋子。

所以我需要做的就是定义一个函数来获取前两个斜线之间的部分，对吗？

有没有更好的方法来做我想做的事？有什么不清楚的请告诉我，谢谢~~

我正在学习 XACML 3.0 并想问一下，如果我有两个具有不同 ID 但属于同一类别的属性，即（Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource"），这个解释为同一类别的两个不同属性或具有单个属性的两个单独请求。

谢谢你 。

我已经阅读了 3.0 规范并在这里有一个问题：

我发现PolicySet和Policy有很多相似之处，比如组合算法等。为了适应更多的层次，PolicySet也可以是自包含的。如果是这样，为什么不将PolicySet和Policy合并为一个名为Policy的概念，并使 Policy 包含其他 Policies 和 Rules？

更新：

说到Rule，实际上Rule与Policy也没有太大区别，只是Rule有Condition和Effect并且没有组合算法。我现在想到的是将三个概念：PolicySet、Policy、Rule合并为一个新的Policy。本政策是自包含的，可以有它的条件和效果。如果它的组合算法返回Intermediate，则使用它自己的Effect。如果其本身的条件，整个政策不适用未能满足要求。我个人认为这种单一概念的模型比 PolicySet、Policy 和 Rule 更简洁明了。

例如，对于四级策略（如果大型企业需要四级策略），XACML 将表示如下：

PolicySet -> PolicySet(s) -> Policy(s) -> Rule(s)

我的修改是：

Policy -> Policy(s) -> Policy(s) -> Policy(s)

相比于 XACML 的两级 PolicySets 和一级 Policy 和 Rule，我认为一个简单的四级 Policies会更清晰吗？

我在我的 java 应用程序中使用 XACML 3.0 和 Balana。我的 XML 模式定义如下：

我的应用程序向 PEP 发送 XACML 请求，如下所示：

在我的政策规则中，我有：

我的回复如下：

这不包含 coPisEmail 和 coPisFullName 的任何义务值。另外我不确定如何获取这些动态属性的值？我如何在我的应用程序中使用这些值？例如，它会只返回一个包含所有电子邮件和全名的值，还是会在单独的响应中返回单个值？我想我在这里遗漏了一些功能：

假设我们有一袋布尔值。是否有一个函数可以判断“真实”值的数量是否大于某个常数（例如，5）？

我遇到了“n-of”函数，但它需要多个单独的属性作为输入而不是袋子......也许“map”函数可以提供帮助，但不确定如何因为我没有找到可以减少的函数一个袋子里的物品数量。

谢谢！迈克尔。

我正在写我的主这些，我对请求的 PDP 评估有一些问题。我在 java 中使用 sunxacml:2.0。当我定义一个请求并使用 PDP 对其进行评估时，响应是 NotApplicable 但是当我在文件中定义一个请求和编码并且我通过编码的文件定义另一个请求时，此请求的评估响应是允许或拒绝。

问题：使用 sunxacml:2.0，请求应始终编码？或者我该怎么做？

如何评估 XACML 2.0 中的多值属性？我有以下 XACML 2.0 政策和要求。如果用户具有超级管理员的角色，他将获得许可。具有多个角色作为<AttributeValue>同一主题属性中的元素，仅<AttributeValue>检索第一个元素进行评估。如何获取和检查我的保单中的所有这些值？

政策

请求

上下文处理程序（在 XACML 中）如何检测上下文更改？我知道上下文处理程序的一项职责是将原始请求转换为 XACML 规范格式，但它如何处理上下文更改？

我有一个棘手的问题（至少对我来说）要解决

简而言之：

1. 公开单个 URL（静态页面）的 Web 服务器
2. 该 URL 只能在上午 9 点到下午 5 点（每天）之间访问
3. 整个事情应该通过XACML来实现

问题

• 为了实现我的目标，我实际上需要什么？
• 我应该安装任何 XACML 的 Oracle 实现吗？它是免费的吗？
• 其他 XACML 实现是否合适？我指的是 WSO2 Balana
• 我应该使用哪些工具？
• 我应该如何开始？

非常感谢