问题标签 [xacml3]

我想宣布一些政策喜欢：

如何编写这种策略。

我查看了“XACML3.0 核心规范”、“Multiple Profile”，他们说

我认为这意味着在策略文件中，我不能在 AttributeValue 中使用 XPath 来引用多个资源，就像我首先说的那样，对吧？因为请求被解析为单个请求，每个请求都请求具有指定属性 id 的资源。

规范中是否有我遗漏或误解的内容？或者任何人都可以建议一个更好的方法来做我想做的事吗？

现在我想知道在资源中使用正则表达式是否可以做到这一点。对应的函数是 urn:oasis:names:tc:xacml:1.0:function:string-regexp-match。

PS：我正在尝试为我的公司设置授权服务器，XACML 似乎是一个不错的起点。但我周围没有人知道这件事。如果有人能给我有关设置访问控制系统的任何建议，我将不胜感激。

嗨我有问题理解为什么我在 WSO2IS 5.0.0 中使用 (org.xacmlinfo.xacml.pep.agent.PEPAgent.java) 和 tryit 函数时得到不同的响应。他们正在查询相同的策略。

PEPA代理

试试看

我如何编写允许在某些资源上委托某些操作的 ALFA 策略？在 XACML 中，这些称为管理策略。

（如http://docs.oasis-open.org/xacml/3.0/xacml-3.0-administration-v1-spec-en.html中所述）

我写了一些义务和建议，但我想知道是否有一种被广泛接受/或正式的方式来正确地做到这一点？换句话说：在 ALFA 中是否有使用义务和建议的标准或首选方式？

我真的很想看一个例子，如何在拒绝和允许时总是触发（在每个请求上）的分层策略中定义义务（例如记录每个请求）及其内容？或者您是否必须为每个策略集/策略和规则定义单独的义务？

您是否必须定义此类义务的确切内容，或者这取决于 PEP 的功能？

首先用户可以同时拥有多个角色，并且角色具有作用域。例如，一个用户具有三个角色：/scopeA/editor、/scopeA/programmer、/scopeB/editor

并且 /scopeA/editor 可以访问资源 /scopeA/post /scopeA/programmer 可以访问资源 /scopeA/bug

所以问题来了：

我如何声明一个策略说：如果角色包中有一个名为“/XX/editor”的角色，那么当“XX == YY”时，相应的用户可以访问“/YY/post”

我在这里找到了一个类似的问题，我提出了一个解决问题的方法，但是当涉及到多个角色（角色属性值是一个包）时，我的答案是不对的。因为角色属性值是一个包，我不能只获取角色属性值的前两个斜杠之间的部分，然后与资源属性进行比较，

然后我试图找到一个高阶包函数来做到这一点，“urn:oasis:names:tc:xacml:3.0:function:any-of”函数可以做到这一点，但是第一个“函数参数”呢任何功能？

这是我所做的：any-of 函数的第一个参数是“string-equal”，第二个参数是用于获取资源 ID 的前两个斜杠之间的部分的函数，第三个参数是主题的属性值是一个袋子。

所以我需要做的就是定义一个函数来获取前两个斜线之间的部分，对吗？

有没有更好的方法来做我想做的事？有什么不清楚的请告诉我，谢谢~~

如何使用 XACML（使用 WSO2 PDP）和 PIP（如果需要）覆盖以下场景。

在二手车应用程序中，在特定位置，销售人员可以查看更新汽车价格。他们只能查看分配给他们的汽车。

现在从xacml角度来看，我们可以为销售人员角色创建策略并根据位置隐藏特定菜单。

但是如何处理该方法getCarDetails(Object User){...}？

这里基于UserID（销售人员）我们将显示列表。

如何使用xacml规范设计这个？

我对此的理解是：我们可以使用spring-security并在此方法之上添加“销售人员”角色。但它只会限制来自不同角色的其他用户。从那里我很困惑，我们应该根据我们的传统应用程序使用用户 ID 使用数据库调用并获取汽车列表，还是有办法通过 xacml 获得细粒度访问？

我正在使用 IS WSO2 对 XACML 进行授权。我能够获得静态资源的授权。但是在粒度化方面我不确定设计。

示例：如果我有像 getCarDetails(Object User) 这样的方法，我应该只获得分配给这个特定用户的那些汽车，那么如何用 XACMl 处理这个问题？

Wso2 提供了对 PIP 的支持，我们可以使用可以从数据库中获取数据的自定义类。但我不确定我们是否应该在 PDP 端复制原始数据库或将原始数据库提供给 PIP 以使用实时数据进行更新。

因为汽车对于应用程序来说是动态的，例如。目前有 10 辆车分配给用户 Alice。突然主管在他的列表中添加了 20 多辆汽车，这些汽车将在应用程序级数据库中。然后这 20 辆汽车将如何在 PDP 级别的策略中自动分配，直到它也有这个最新信息。

我可能会在理解上犯一些错误。但是我不确定如何处理这个问题，因为在整个应用程序中我们可以有很多这种复杂的场景，有时我们会从超过 4 或 5 个表中获取一个用户的数据，那么如何处理这种场景呢？

我是 XACML 世界的新手。我已经阅读了一些关于 v3.0 标准的 JSON 和 REST 配置文件的文档，但我能找到的所有内容都与 XACML 请求和响应有关，而不是策略（这是我感兴趣的部分）。

是否有关于如何使用 JSON 配置文件而不是传统的 XML 格式来定义 XACML 策略的文档？

Lets say there are resources like the files. Who, when, where have an access to the individual file is not a problem. Assume that there is a resource like a directory which has its own attributes and contain other files, directories and/or some other items. Now there is a user which have an access to a directory but does not have access (even to see the name/title) to some of the files or sub-diectories.

How to filter the directory to contain only the files which a user may access, if the policy decision is separated from a business logic. Should I check each file individually?

If yes then if the directory contains 10M files and user has access only to a couple of files how to identify that files?

我是 XACML 的新手。我计划使用 XACML 策略和 Wso2 ID 服务器在我们的组织应用程序中实现 RBAC。我已经阅读了许多关于使用 wso2 创建不同的不同 XACML 策略的文章，并且我也尝试了许多策略示例。但是在浏览了所有可用示例之后，我没有找到创建 XACML 策略集和重新使用策略集的正确方法。我自己尝试创建 XACML PolicySet，但是当我尝试在 wso2 Id 服务器中执行此策略集时，它每次都会给我“不适用”错误。我尝试了很多以不同方式创建 XACML 策略集但是当我创建请求时为此，它不会给我正确的结果。帮助我给出 XACML 策略集的正确示例及其请求。

在这里，我添加了我的策略集和策略以及它的请求。请让我知道其中有什么问题。

在 wso2Id 中创建的角色是：- testRole 并将此角色分配给 testUser

PolicySet 是：-

政策

策略集请求