问题标签 [xacml3]

我正在考虑将我的客户端应用程序从使用 XACML 2.0 授权服务迁移到使用更新的 XACML 3.0 服务。

在将我的客户端应用程序从发出 XACML 2.0 请求迁移到发出 XACML 3.0 请求时，我会遇到哪些变化或问题？

我想知道您是否可以向我指出有关 XACML 如何应用于前端（演示）授权的 URL 和文档。换句话说，决定启用什么、屏蔽什么、使什么可见。当涉及到演示小部件时问这个问题：按钮、菜单、网格列、网格行、文本框、标签等。从我一直在阅读的内容来看，XACML 非常适用于要授权或未授权的服务请求，并且某些义务需要先于和/或后继。我非常感谢有关 XCAML 和表示层访问控制的回应。

作为我研究的一部分，我必须评估 XACML 政策。我正在寻找用于 xacml 评估的 IDE。谁能推荐一个？

我已经安装了 wso2 身份服务器，但是当我上传策略时，它给出了无法上传策略的错误。

我还下载了 UMU-Xacml-Editor。谁能告诉我如何使用该编辑器进行评估？

我什至下载了几个源伪造引擎，但我无法安装它们。谁能告诉我安装细节

您能否让我知道是否有任何用于评估 xacml 策略的开放工具。

谢谢和问候，帕瓦尼。

我对与 WSO2 Balana 库一起使用的 XACML 策略有疑问。

有政策：

它应该定义 user1 在 MyApp 上只有 READ 权限。

我有一个评估请求，询问 user1 是否具有 READ 权限，并且我在响应中得到“Permit”，这没关系。

但是，当我请求评估哪个询问 user1 是否具有 WRITE 权限时，我也会得到“Permit”，而不是“Not applicable”。

有人能告诉我，产生我刚才描述的结果的政策是否正确？

先感谢您！

最好的问候， Jurica Krizanic

我们如何在 XACML 中使用义务？任何参考都会有所帮助 场景是义务应参考 PIP 并将结果返回给 PEP

谢谢

作者评论中的示例：

我想知道 WSO2 Identity Server 是否支持 multipleRequests？

当我尝试制定以下要求时：

它抛出行列式错误说

任何工作样本？任何想法？

我有一个策略，当我在 WSO2 身份服务器中运行请求时，我得到了预期的许可决定。但是当我从以下位置创建另一个示例策略时：

http://svn.wso2.org/repos/wso2/carbon/platform/tags/4.0.7/products/is/4.1.0/modules/distribution/conf/policies/sample-kmarket-sliver-policy.xml

并再次发送我的相同请求，我收到以下错误：

出于某种原因，请求正在针对此示例策略而不是我的原始策略运行。现在有趣的是，我下载了 Balana（WSO2 身份服务器使用的 XACML 引擎）源代码并使用策略和我的请求运行测试，并且我按预期获得了许可。但是当我在 WSO2 中做同样的事情时，它不起作用，我得到了不确定的错误。我尝试了“试用”功能和“使用 PDP 评估”，结果相同。

这是我使用的请求，为什么将其应用于示例策略而不是通过 WSO2 而不是 Balana 的原始策略？

我正在处理 WSO2 IDS 4.0.0 中的这个链接。

http://malalanayake.wordpress.com/2013/02/13/authentication-and-authorization-with-wso2esb-and-wso2is/

我按照上面的链接开发服务在 WSO2 IDS 4.0.0 服务器中通过 Tryit 评估策略。

我输入相同的数据并单击测试评估。

显示错误“未找到该请求的适用策略”。

谁能解释一下我在哪里出错了。

我在这里发送我的 XCML 策略文件。

我正在阅读最新的 XACML 规范，据我所知，没有null属性值的概念。这是真的？

那么，如果请求的属性值为，我是否正确地说AttributeDesignatorwith应该返回空包？反之亦然，如果请求的属性值为?MustBePresent=falsenullAttributeDesignatorMustBePresent=trueIndeterminatenull

那么，XACML 是否真的无法区分“属性值为空”和“属性缺失”的情况？

还是这超出了标准的范围并且依赖于实现？

我的问题适用于 wso2 身份服务器 4.5 (IS) 和 balana“独立”。

按照“XACML v3.0 Multiple Decision Profile Version 1.0”中的规定，我成功处理了发送到 IS（PDP 的 Web 服务接口）中授权服务的 XACML 多个请求。

我在网上找到了几个自定义“属性查找器”的示例，但在所有这些示例中，实现检索主题的属性（例如主题的角色）而不是资源的属性。在我的用例中，我将向 PDP 发送一个 xacml 请求，其中包含主题的所有属性和资源 ID 列表。我已经实现了一个属性查找器来从外部系统（例如数据库或 Web 服务）检索资源的属性。第一个问题是：是否出于同样的原因不推荐这种方法？

如果资源数量增加，第二个问题涉及此 AttributeFinder 实现的性能。

假设我们已经限制了可以在策略定义中使用的资源属性列表。例如少量的属性。

来自 org.wso2.balana.finder.AttributeFinderModule 的方法：

必须返回单个属性的值/值。因此，如果策略评估资源的更多属性，则此方法会为同一资源调用更多次。如果我在第一次调用该方法时读取资源的所有属性并保存可用于的数据（例如，在线程局部变量上），我可以避免为同一资源的不同属性多次调用外部系统随后的调用。

因此，如果我有多个请求，并且资源属性的策略适用于该请求，则不仅针对同一资源的每个属性，而且针对每个资源，都会多次调用该方法。为了提高性能，我想减少对外部系统的调用次数，因此我想在第一次调用“findAttribute”方法时读取所有资源的属性（如果我有一个非常大的集合，则为子集）。为此，我需要在“findAttribute”方法中访问请求中所有资源 ID 的列表。我在属性查找器中收到的 EvaluationCtx 只是从多个请求构建的 Set 中的其中一个。完整集在方法 org.wso2.balana.PDP.evaluate(EvaluationCtx) 中循环处理，在方法中不可用"

例如，我可以扩展 PDP 类以在线程局部变量中发布完整的 EvaluationCtx 集（或资源 ID 列表），但这可以在“balana Standalone”中工作，而不是在 wso2 身份服务器中。有任何想法吗？

谢谢你。斯特凡诺