XACML政策執行點(PEP)最佳做法
[英]XACML Policy Enforcement Point (PEP) Best Practices
問題描述
我有以下情況:
在業務工作流中,必須針對不同的論點做出許多決定。
例如:首先檢查用戶角色,然后執行一些業務邏輯,然后檢查業務許可,確認...
我的問題是:
假設在PDP上針對每個參數有很多政策,
PEP是否應該向PDP發出包含所有屬性(例如:用戶角色,商務屬性,ecc)的單個(大)xacml請求?
要么
PEP是否應該向PDP發出多個(簡短的)xacml請求,而僅包含一種屬性(例如:第一次使用用戶角色進行呼叫,第二次使用業務屬性進行訪問,等等)?
謝謝
1 個解決方案
解決方案1
0 已采納 2014-10-22 19:49:35
PEP永遠不應該知道PDP有多少個策略,更不用說它們的結構了。 此外,每個授權問題您應該有一個請求。 如果您有多個用例,例如
- 創建交易
- 查看交易
- 打印交易
- 批准交易
那么您應該執行4個獨立的XACML請求。 1個XACML請求= 1個授權請求 。 如果您創建了一個具有大量屬性的XACML請求,則實際上並不會問4個獨立的問題,而是會產生一種怪異的混合方式,如果所提供的任何屬性觸發了“許可”,則可能會被允許(當然,這取決於在策略上以及結合使用的算法)。
為了節省往返時間(運輸成本...),您可以使用XACML(MDP)的多決策配置文件,從而可以一口氣提出:
- 用戶可以創建,查看,打印,批准交易X嗎?
公理政策服務器實施多重決策配置文件。 您可以閱讀此博客文章,以了解如何創建請求 。
戴維(HTH),大衛。
不適用的響應是XACML策略
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.