问题标签 [xacml3]

嗨，我正在使用WSO2 Balana XACML，我发现wso2他们提供的示例正在从resource folder. 我不想从文件系统加载策略，因为我想从数据库加载它，或者我将提供服务 URL，他们的 PDP 将检查传入请求的策略，或者是他们的任何其他方式建议。

嗨，我经历了许多有关 XACML 的用例，但我不知道在 PDP 中加载策略的最佳方式是什么。根据 OASIS 定义的 PDP 工作流程，我理解传入请求何时到达 PDP。PDP 负责根据请求匹配相应的策略。

由于 PDP 将匹配每一个策略，所以想想我有 10,000 个策略存储在分布式环境中的场景，那时会发生什么。匹配会消耗越来越多的时间，这不是匹配策略的有效方式。

我需要对这个问题做一些澄清：

1. 如何在不同的服务器上分发策略？

2. 如果我在不同的服务器上分发策略，那么我的 PDP 将如何识别并从特定服务器获取相应的策略？

3. PDP 识别与传入请求匹配的确切策略的最佳方式是什么？

我浏览了 XACML 文档，它解释了如何在 XML 文件中维护授权策略，同样可以通过将策略保存在数据库中来完成，我的问题是在 XML 文件中存储策略（如 XACML）而不是 DB 方法的优势是什么，因为归根结底，它只是解析 XML 或查询数据库。

我正在使用 Balana XACML 进行授权。谁能与我分享一个扩展 Balana 的 PolicyFinderModule 的类，以使 PDP 读取指定的 XACML 策略。我想要一些东西，好像我们有 BALANA 提供的 SampleAttributeFinderModule、SampleResourceFinderModule。

我为授权创建了一个 XACML 文件，如下所示：

我正在做基于 balana 的验证，但出现以下错误：

但我已经提到了资源 ID，相同的代码适用于 balana 测试策略文件，不同之处在于我使用的是策略集而不是“策略”。

我想以编程方式生成 XACML 2.0 策略。有没有办法做到这一点或将一组 XACML 3.0 策略转换为 XACML 2.0 策略？

谢谢

我需要定义一个允许请求的策略

• 到资源 /tenant-3/*
• 对于属于财务角色和组织工资的用户

wso2is 编辑器不接受我定义的条件作为标准 XACML.3.0 策略。有人能告诉我如何定义这样的政策吗？会很好 ？问候 Vpl

首先我想提一下，这肯定是一个新手问题，但我现在已经找了几个小时了，但我没有答案。

我刚开始出于学术目的尝试 XACML。我使用 wso2-is 提供的编辑器来编写一些策略并根据一些请求评估它们。

我创建了这个策略来表达你可以从资源d中读取或写入的主题

在匹配这个简单的请求“你可以从 d中读取”时，我得到了不适用的结果！这是请求：

任何人都可以帮助我理解我做错了什么？

谢谢你们！

我们有多个 API 模块。

我会为每个 API 模块编写一个策略，还是一个具有不同规则的策略？

假设我有一个 API

http://api.example.org/api/v1/users 和

http://api.example.org/api/v1/products 和

http://api.example.org/api/v1/purchases

每个 api 都会有一个策略，每个资源都有不同的规则吗？还是 PolicySet 中每个 API 模块的策略？

我是 XACML 的新手，我们正在编写我们的第一个策略。OASIS的介绍只是说：

Policy 表示单个访问控制策略，通过一组规则表示。

不是很清楚解决我的需求...

如果我有 API

https://api.example.org/api/v1/resources

并且可以访问具有 id 的资源

https://api.example.org/api/v1/resources/:id

如何编写 XACML 策略，其中资源是具有资源 ID 的 URL（上面的第二个 URL）？如何在其中放置占位符/变量以便为它编写规则？