问题标签 [xacml]

I'm working with XACML policies and I have a rule that includes a resource target similar to the following:

I want this rule to apply to all subdirectories of /Mydirectory. However, if I were to evaluate a request with the resource /MyDirectory/MySubdirectory, I would get a DECISION_NOT_APPLICABLE (3) response.

Is there an XQuery function that would allow me to apply a rule to all subdirectories of a single directory?

最初，我问“您如何编写要求主体被授予访问请求权限的策略，其中允许的权限集位于外部属性存储中。您可以在策略中引用外部权限集吗？” 第二个问题得到了肯定的回答，所以我稍微修改一下这个问题，把重点放在“如何”上。

有人可以提供一个 xacml 策略片段（甚至是伪 xacml），它要求角色属性 id（将由请求提供）在由另一个属性 id（由外部属性存储管理）标识的一组角色中。

为了提供一个起点，以下是来自http://docs.oasis-open.org/xacml/2.0/XACML-2.0-OS-ALL.zip的示例。在这种情况下，角色是内联的。

我对 XACML（可扩展访问控制标记语言）非常陌生，我正在研究 TSPM（它是使用 XACML 的商业产品）可以为某些业务需求做些什么。

所以我一直在寻找这个问题的答案：

假设我有一个网站页面，其中包含由具有特定应用程序配置文件的用户访问的 3 个链接。是否可以根据某些规则创建一个限制和管理“链接”的策略（假设某个个人资料用户在午夜之前只能看到 2 个链接而不是 3 个）？

主要问题是我无法弄清楚 XACML 断言中的资源是什么，我只是在一些文档中找到了这个定义：

资源是可以控制访问的任何东西。示例包括 XQuery 模块和 Java 方法。

任何人都可以通过实际示例 XACML 帮助更好地理解？

谢谢你们！

任何人都可以给我一个很好的教程的链接，它可以让我知道如何使用策略文件中的 openSAML2 api 构建 XACMLObject 吗？谢谢

我实际上正在研究一个需要解析 XACML 策略文件并检测内部定义的策略的项目，为此我已经看到了一些 api，但是他们谈论如何构建请求或如何解析响应（来自pdp），所以我问是否有人可以提供帮助（我知道我可以使用 JAXB 来完成，但我不知道要检索哪些信息）谢谢你提前回答

我正在考虑将我的客户端应用程序从使用 XACML 2.0 授权服务迁移到使用更新的 XACML 3.0 服务。

在将我的客户端应用程序从发出 XACML 2.0 请求迁移到发出 XACML 3.0 请求时，我会遇到哪些变化或问题？

我有一个 C# .net 应用程序，它同时为公司的内部用户和外部客户提供服务。我需要做细粒度的授权，比如谁访问什么资源。所以我需要基于资源或基于属性的东西，而不是基于角色的授权。

我想到的是：

1. 为我的 .net 应用程序实现我自己的授权机制和 sql 表
2. 使用/实现标准机制，例如实现 XACML 的软件（例如 Axiomatics）

第一种方法的问题是它既不是集中的也不是标准的，因此其他系统无法使用它进行授权。

第二种方法的问题在于它可能更慢（由于每个资源都需要额外的调用）。此外，我不确定市场上的应用程序支持像 XACML 这样的标准授权有多广泛，以使未来的集成更容易。

那么，一般来说，对于应该为内部用户和外部客户服务的 Web 应用程序进行细粒度授权的良好做法是什么？

我正在使用 IBM 的 Tivoli Security Policy Manager 和自定义 PIP（实现com.ibm.tscc.rtss.authz.api.IExternalFinder）。我可以从 TIP 控制台看到我的 PIP，并且我可以对其进行配置，以便为我的策略中的参数提供值。但是，当这些策略作为授权请求的结果进行评估时，我的 PIP 只会被要求每隔几分钟左右提供一个值。同时使用旧值。

为了证明这一点，我的 PIP 有一个内部状态，int counter其中包含一个在调用get*Attributes方法时加一的状态。我的 PIP 生成的单一String类型（环境）属性指示"even"或"odd"取决于counter % 2. 我期望用户每隔一次尝试就被授予访问权限，但如果请求在彼此之后过早发送，则不会发生这种情况。

有没有办法强制 TSPM 不缓存我的 PIP 的结果？这是在 TSPM 或 WebSphere 中的哪里配置的？

我正在尝试使用 Joda 来支持所有 XACML 数据时间，但是无法让它从诸如“P50DT4H4M3S”之类的字符串中解析持续时间。我怀疑问题是 ISO 和 W3C 在某些时候分道扬镳，而 Joda 支持 ISO 路径。

无论如何，有没有一种简单的方法可以弥合差距。如果可能的话，我想避免构建自己的解析器。

我知道 javax.xml 类型，它似乎可以满足我的需要，除了它基于 GregorianCalendar，我希望通过使用 Joda 来避免这种情况。

我正在寻找您找到/使用/可以共享的任何资源/参考/见解/示例代码，以解决使用 XACML 保护 WCF 服务的问题。是的，我已经用谷歌搜索了，不，没有太多帮助。那里严重缺乏关于这个主题的有用信息。

您可以分享的以下任何内容都会有所帮助：

1. 使用 XACML 保护 WCF 时使用的基本工作流概述

2. 与 WCF 结合使用的示例 XACML 文档

3. 使用 XACML 时的 WCF 配置示例

基本上，任何可以作为起点的东西都会非常有帮助！