问题标签 [xacml]

我有一个策略，当我在 WSO2 身份服务器中运行请求时，我得到了预期的许可决定。但是当我从以下位置创建另一个示例策略时：

http://svn.wso2.org/repos/wso2/carbon/platform/tags/4.0.7/products/is/4.1.0/modules/distribution/conf/policies/sample-kmarket-sliver-policy.xml

并再次发送我的相同请求，我收到以下错误：

出于某种原因，请求正在针对此示例策略而不是我的原始策略运行。现在有趣的是，我下载了 Balana（WSO2 身份服务器使用的 XACML 引擎）源代码并使用策略和我的请求运行测试，并且我按预期获得了许可。但是当我在 WSO2 中做同样的事情时，它不起作用，我得到了不确定的错误。我尝试了“试用”功能和“使用 PDP 评估”，结果相同。

这是我使用的请求，为什么将其应用于示例策略而不是通过 WSO2 而不是 Balana 的原始策略？

有谁知道有关如何评估 XACML 政策的详细信息？实际上，我已经编写了一个类似以下的策略，但是当我尝试使用 Trylt 工具进行评估时，它总是以“不确定”失败。这是我第一次编写 XACML 策略，我不确定它有什么问题？可以帮我一个忙吗。非常感谢！

我使用如下 Trylt 工具来评估我的策略，如下所示：Subject =“admin”

它总是像这样失败：（在 IS 上使用示例策略时也会发生）错误消息是“不确定”

我的环境是：IS的版本是4.1.0

是否可以将 XACML 策略存储在文件系统的任何位置（例如 c:\users\simo\projects\project1\policies）？如果答案是肯定的，如何配置 jbossxacml-config.xml ？

我已经尝试过了，但它不起作用。

例外情况如下：

谢谢，西莫

我想用 XACML 3.0 为 XML 文档表达一个细粒度的访问控制用例，但我不知道是否可以使用完整的 XPath 表达式，例如

这是我的 XML：

如何限制销售额低于 10,000 的客户访问？

我为 WSO2 身份服务器创建了一个 PIP，以使用 Maven 项目从存在数据库中获取属性值并实现 AbstractPIPAttributeFinder。

请你告诉我，如果他从数据库中正确提取属性，我该如何测试我的 PIP？

我们的 Web 应用程序基于 Spring Security。我们已经通过 SSO 提供商 (CAS) 处理身份验证

我们正在尝试为我们的应用程序（角色和前提）找到一个处理授权的便捷解决方案。

我读到了 XACML；但是，找不到任何在 Spring-security 框架中实现和集成它的实际经验/示例。

有人有这方面的经验吗？

谢谢，雷。

我对在 WSO2 中配置 RBAC 几乎没有疑问：

1. 受支持的分层角色？
2. 是否可以根据不同的授权上下文将不同的角色与用户相关联？即在 DeptA 中，用户可以访问某个资源，因为具有经理角色，而在 DeptB 中，因为具有正常员工角色，所以不能访问。
3. RBAC 可以用 XACML 策略实现吗？任何可用于分层角色的示例策略？

我尝试运行以下包含 XPath 函数的 XACML 策略：

但是我不能上传到我的WSO2 identity server 4.5

这是服务器返回的消息：

策略上传失败。尝试调用服务方法 addPolicy 时发生异常

请你帮我解决这个问题

这是我尝试上传策略时的日志内容

util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:908) java.lang.Thread.run(Thread.java:662) TID[-1234] [IS] [2013-11-17 15:58:10,640]错误 {org.wso2.carbon.ui.transports.fileupload.AbstractFileUploadExecutor} - 策略上传失败。尝试调用服务方法 addPolicy 时发生异常

我正在阅读最新的 XACML 规范，据我所知，没有null属性值的概念。这是真的？

那么，如果请求的属性值为，我是否正确地说AttributeDesignatorwith应该返回空包？反之亦然，如果请求的属性值为?MustBePresent=falsenullAttributeDesignatorMustBePresent=trueIndeterminatenull

那么，XACML 是否真的无法区分“属性值为空”和“属性缺失”的情况？

还是这超出了标准的范围并且依赖于实现？

我的问题适用于 wso2 身份服务器 4.5 (IS) 和 balana“独立”。

按照“XACML v3.0 Multiple Decision Profile Version 1.0”中的规定，我成功处理了发送到 IS（PDP 的 Web 服务接口）中授权服务的 XACML 多个请求。

我在网上找到了几个自定义“属性查找器”的示例，但在所有这些示例中，实现检索主题的属性（例如主题的角色）而不是资源的属性。在我的用例中，我将向 PDP 发送一个 xacml 请求，其中包含主题的所有属性和资源 ID 列表。我已经实现了一个属性查找器来从外部系统（例如数据库或 Web 服务）检索资源的属性。第一个问题是：是否出于同样的原因不推荐这种方法？

如果资源数量增加，第二个问题涉及此 AttributeFinder 实现的性能。

假设我们已经限制了可以在策略定义中使用的资源属性列表。例如少量的属性。

来自 org.wso2.balana.finder.AttributeFinderModule 的方法：

必须返回单个属性的值/值。因此，如果策略评估资源的更多属性，则此方法会为同一资源调用更多次。如果我在第一次调用该方法时读取资源的所有属性并保存可用于的数据（例如，在线程局部变量上），我可以避免为同一资源的不同属性多次调用外部系统随后的调用。

因此，如果我有多个请求，并且资源属性的策略适用于该请求，则不仅针对同一资源的每个属性，而且针对每个资源，都会多次调用该方法。为了提高性能，我想减少对外部系统的调用次数，因此我想在第一次调用“findAttribute”方法时读取所有资源的属性（如果我有一个非常大的集合，则为子集）。为此，我需要在“findAttribute”方法中访问请求中所有资源 ID 的列表。我在属性查找器中收到的 EvaluationCtx 只是从多个请求构建的 Set 中的其中一个。完整集在方法 org.wso2.balana.PDP.evaluate(EvaluationCtx) 中循环处理，在方法中不可用"

例如，我可以扩展 PDP 类以在线程局部变量中发布完整的 EvaluationCtx 集（或资源 ID 列表），但这可以在“balana Standalone”中工作，而不是在 wso2 身份服务器中。有任何想法吗？

谢谢你。斯特凡诺