XACML政策执行点(PEP)最佳做法
[英]XACML Policy Enforcement Point (PEP) Best Practices
问题描述
我有以下情况:
在业务工作流中,必须针对不同的论点做出许多决定。
例如:首先检查用户角色,然后执行一些业务逻辑,然后检查业务许可,确认...
我的问题是:
假设在PDP上针对每个参数有很多政策,
PEP是否应该向PDP发出包含所有属性(例如:用户角色,商务属性,ecc)的单个(大)xacml请求?
要么
PEP是否应该向PDP发出多个(简短的)xacml请求,而仅包含一种属性(例如:第一次使用用户角色进行呼叫,第二次使用业务属性进行访问,等等)?
谢谢
1 个解决方案
解决方案1
0 已采纳 2014-10-22 19:49:35
PEP永远不应该知道PDP有多少个策略,更不用说它们的结构了。 此外,每个授权问题您应该有一个请求。 如果您有多个用例,例如
- 创建交易
- 查看交易
- 打印交易
- 批准交易
那么您应该执行4个独立的XACML请求。 1个XACML请求= 1个授权请求 。 如果您创建了一个具有大量属性的XACML请求,则实际上并不会问4个独立的问题,而是会产生一种怪异的混合方式,如果所提供的任何属性触发了“许可”,则可能会被允许(当然,这取决于在策略上以及结合使用的算法)。
为了节省往返时间(运输成本...),您可以使用XACML(MDP)的多决策配置文件,从而可以一口气提出:
- 用户可以创建,查看,打印,批准交易X吗?
公理政策服务器实施多重决策配置文件。 您可以阅读此博客文章,以了解如何创建请求 。
戴维(HTH),大卫。
不适用的响应是XACML策略
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.