如何在XACML策略中實施這些規則?
[英]How to implement these rules in XACML policies?
問題描述
這是我出於學習目的試圖通過XACML / ABAC實現的要求:
信息模型
資源:建築物,單位
- 有很多建築物(例如B1,B2,B3,... Bn)
- 每個建築物都有許多單元(即,單元是建築物的子級)(例如B1U1,B1U2,B1U3等)
事由:家政人員
規則
- 管家可以“打開”一個“單元”,如果
- 他們對該單元具有“開放”權限,或者
- 如果他們對該“單位”所在的“建築物”具有“開放”權限。
有指針嗎?
更新資料
本質上,這是我的擔憂:如果要求類似,如果管家對“ unitX”具有“打開”權限,則管家可以“打開”“ unitX”。 在這里,我只是寫了一條簡單的規則。
但是,根據我的實際需求,需要關注的是:
由於沒有一個特定的資源,但是有許多相同類型的資源,我應該為每個資源編寫一個單獨的策略嗎? 例如 用於構建“ B1”的單獨策略,用於“ B2”的另一個策略,依此類推?
策略將如何“了解”建築物與單元之間的層次關系。
現在,我對此進行了進一步思考,我認為以下方法應該可行(?)
- 請求將包括以下內容
資源:/ {buildingId} / {unitId} //這是政策如何知道父子關系的方式
動作:打開
subject:subjectId以及該主題可能擁有的所有權限(仍在思考如何表示權限,有什么建議嗎?)
- 用以下規則定義一個策略://偽代碼if(subject.permissions包括在{buildingId}上打開或在{unitId}上打開),然后允許其他拒絕。
有什么建議么?
謝謝,
賈廷
1 個解決方案
解決方案1
1 已采納 2017-09-19 14:16:19
您需要在ABAC模型上定義如下屬性:
資源屬性
屬性-建築,屬性值-B1,B2,B3
屬性-單位,屬性值-B1U1,B1U2,B1U3,B2U1,B2U2,B2U3,B3U1,B3U2,B3U3
動作屬性
屬性-建立動作,屬性值-開放
主題屬性
屬性-建築物居民,屬性值-居民1,居民2
建築和建築單元之間的層次關系需要在資源繼承關系上進行定義。
資源繼承
受益人-建築:B1,繼承值-單位:B1U1,單位:B1U2,單位:B1U3
受益人-建築:B2,繼承值-單位:B2U1,單位:B2U2,單位:B2U3
受益人-建築:B3,繼承值-單位:B3U1,單位:B3U2,單位:B3U3
現在,您需要定義關於ABAC策略的規則。 現在,您可以使用策略自動化工具,以便您無需在規則創建過程中考慮繼承關系。您一次定義了這些關系,然后在創建規則時,自動化工具將自動記住這些關系並自動為您創建規則。 您可以下載這樣的工具名稱“安全策略工具”。 這是一個商業工具,但是您可以下載免費的演示,其中包括完整的xacml編輯器。 請在下面查看您的模型在SPT中的屏幕截圖:
然后,通過此工具,您可以將ABAC策略自動轉換為XACML,並進一步在內置的xacml編輯器中進行編輯以進行微調。
如何在wso2身份服務器中對自己創建的數據庫實施xacml策略?
[英]how to enforce xacml policies on self created database in wso2 identity server?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.