问题标签 [xacml3]

从 balana ( http://svn.wso2.org/repos/wso2/trunk/commons/balana/modules/balana-samples/kmarket-trading-sample/ ) 查看 k-market 样本后，我想创建一个类似的示例项目。我创建了以下 2 个类。balana 源是从同一个主干下载的。

和

虽然我认为上面的代码应该可以工作，但我的 SampleAttributeFinderModule 永远不会被调用，并且只有当我的请求包含指定的属性时评估才会成功。我的政策是这样的：

任何帮助，将不胜感激。请注意，在查看 balana 源代码并跟踪其方法的调用方式之后，我偶然发现了以下代码（我确定在运行程序时会调用它）。似乎它首先尝试从请求中获取属性，但是如果属性不在请求中（我认为），第一个 if 总是评估为 false，因此永远不会调用包含模块的 callHelper 方法。这是故意的吗？

想知道为什么在义务声明中的 WSO2 Balana 框架只接受“允许”或“拒绝”条件的 fulfillOn 参数，但忽略“不适用”结果，这也可能是有趣的拦截和记录在逻辑流中以帮助策略调试过程。

在 Balana ObligationExpression.java 的源代码中，我们发现：

您对此有何看法，这个逻辑是否正常工作？

浏览 OASIS XACML V3 规范，我没有发现任何对实现“字符串不等于”操作的逻辑函数 [此处] 的引用。缺少的功能是：

问题：是否有省略此功能的原因，或者是否有通过代码修改允许规则分析师绕过这种情况的良好做法？

我正在学习 XACML 3.0 并想问一下，如果我有两个具有不同 ID 但属于同一类别的属性，即（Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource"），这个解释为同一类别的两个不同属性或具有单个属性的两个单独请求。

谢谢你 。

WSO2 XML 编辑器中的 XACML 版本 3 语法验证器存在问题，它拒绝插入语句。我计划添加一个属性列表来代替单个属性检查。下面是被 XACML 语法验证器拒绝的语句的打印输出：

这个带有“string-bag”的简单条件会引发模式错误：

显示的错误信息是：

使用“或”逻辑运算符的这种条件工作正常：

如上所示，描述条件的语句插入到该规则的最后一部分之前。

WSO2 PAP 是否支持使用属性列表，如果是的话，这个错误是否可以通过语法构造中的错误来解释？

在 Web 上寻找公共语法和模式验证器，这是一种实用工具，有助于调试与 XACML V3 语法合规性类似的问题。

考虑我有以下示例 xacml 请求。我如何修改它以评估对多个操作的多个决策。

我想知道在 XACML V.3 下是否有机会共同生活在同一规则中的<Condition>和部分。<Target>看起来 XLS 模式验证正在拒绝这样的构造。这个错误是否可以通过语句序列来解释，或者这样的结构是简单的、不可预见的，还是可能的？

IdAM 产品供应商正在积极使用的资源标识符 (urn:oasis:names:tc:xacml:1.0:resource:resource-id) 的格式/结构是否有标准或批准的配置文件？大约一年来，我一直在针对 Oracle Entitlements Server (OES)、ForgeRock OpenAM 和 WSO2 Identity Server (WSO2IS) 等产品开发原型代码，并且资源标识符在本质上似乎是特定于供应商的。例如，根据我的经验：

在 OES中，资源标识符采用 /应用程序名称/资源类型/由斜线分隔的资源元素的形式

在 OpenAM中，资源标识符的形式似乎是 /领域/应用程序名称/由斜线分隔的资源元素

在 WSO2IS中似乎没有强制执行特定格式，至少没有通过管理 GUI

在 Axiomatics Policy Server中，用户可以选择自己喜欢的格式。

我已经查看了Hierarchical Resource Profile，但我没有看到（或错过）上述供应商特别支持此配置文件的地方。（我也不能 100% 确定它是否适用于我所问的具体问题，这就是我提到它的原因。）

需要关注的具体领域之一是由扮演 PEP 角色的应用程序保护的资源建模，因为似乎确实有一定数量的供应商/实现特定信息是资源建模的一部分身份标识。我们的客户强烈希望保持供应商/供应商中立，这是他们对基于标准 (XACML) 的实施感兴趣的主要原因之一。

任何有关此主题的指导或参考将不胜感激。

我已经阅读了 3.0 规范并在这里有一个问题：

我发现PolicySet和Policy有很多相似之处，比如组合算法等。为了适应更多的层次，PolicySet也可以是自包含的。如果是这样，为什么不将PolicySet和Policy合并为一个名为Policy的概念，并使 Policy 包含其他 Policies 和 Rules？

更新：

说到Rule，实际上Rule与Policy也没有太大区别，只是Rule有Condition和Effect并且没有组合算法。我现在想到的是将三个概念：PolicySet、Policy、Rule合并为一个新的Policy。本政策是自包含的，可以有它的条件和效果。如果它的组合算法返回Intermediate，则使用它自己的Effect。如果其本身的条件，整个政策不适用未能满足要求。我个人认为这种单一概念的模型比 PolicySet、Policy 和 Rule 更简洁明了。

例如，对于四级策略（如果大型企业需要四级策略），XACML 将表示如下：

PolicySet -> PolicySet(s) -> Policy(s) -> Rule(s)

我的修改是：

Policy -> Policy(s) -> Policy(s) -> Policy(s)

相比于 XACML 的两级 PolicySets 和一级 Policy 和 Rule，我认为一个简单的四级 Policies会更清晰吗？

我目前正在对 XACML 3.0 的新功能进行一些研究，称为管理委托配置文件和基于属性的访问控制 (ABAC) 的义务。任何人都可以帮助我获得一些好的阅读和资源来对这个领域做进一步的研究，而且如果我打算使用 Java 在我的 Web 应用程序中实现这些概念，那么前面的优点和缺点是什么，我该如何整合这些证明概念？

目前，我使用Balana作为后端安全框架来解析我的请求/响应，这显然不支持委派，所以最好使用什么框架。或者如果我想自己做我能做什么以及在当前实施中我需要做出哪些改变。