XACML 在策略中結合 PIP

Question

我是 XACML 架構的新手，如果您能幫助我解決下一個問題，我將不勝感激。

是否可以以將從一個 PIP 中提取的答案用作其他 PIP 的輸入參數的方式使用多個 PIP？

如果是這樣，你能給我提供一個簡單的 XML 請求示例嗎？

提前致謝

Answer 1

是的，可以通過一個 PIP 解析的屬性可以用作另一個 PIP 的輸入的方式使用多個 PIP。

基於XACML 架構，由 PDP 決定如何使用 PIP 解析屬性。

它是如何在高層次上工作的：

1. 輸入請求（來自 PEP）到 PDP 包含一個屬性，比如Subject-ID=Alice
2. PDP 根據來自輸入請求的屬性評估 XACML 策略。 例如，如果Action-ID=Read ，則策略表示允許
3. 由於策略中沒有定義Subject-ID ，PDP 嘗試要求一個或多個 PIP 解析Action-ID並為 PIP 提供它具有的Subject-ID （來自輸入請求）。 例如，假設我們有 2 個 PIP - PIP A可以從Subject-ID解析resource-ID ，而PIP B 可以從resource-ID解析Action-ID resource-ID
4. 在這里，發生的情況是 PDP 首先使用PIP A 根據來自輸入請求的Subject-ID解析resource-ID ，然后使用resource-ID Action-ID使用PIP B解析Action-ID ，然后 PDP 使用它來評估策略。 如果PIP B返回 Alice，您將獲得permit決定，否則它將是NotApplicable

請注意，這取決於如何實現 PDP以在您的用例中使用鏈式 PIP 解析屬性。

來自Axiomatics公司的 PDP 能夠執行鏈式 PIP 查找。

披露：我在Axiomatics工作，我們提供基於 XACML 的訪問控制解決方案