个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我对 XACML(可扩展访问控制标记语言)非常陌生,我正在研究 TSPM(它是使用 XACML 的商业产品)可以为某些业务需求做些什么。
所以我一直在寻找这个问题的答案:
假设我有一个网站页面,其中包含由具有特定应用程序配置文件的用户访问的 3 个链接。
是否可以根据某些规则创建一个限制和管理“链接”的策略(假设某个个人资料用户在午夜之前只能看到 2 个链接而不是 3 个)?
主要问题是我无法弄清楚 XACML 断言中的资源是什么,我刚刚在一些文档中找到了这个定义:
资源是可以控制访问的任何东西。示例包括 XQuery 模块和 Java 方法。
任何人都可以通过实际示例 XACML 帮助更好地理解?
谢谢你们!
最佳答案
(我是 TSPM 的技术主管,或者是不熟悉该产品的其他人的 Tivoli Security Policy Manager)。
您描述的用例绝对是可能的。不过,您可能不需要关注原始 XACML - 我们付出了很多努力来为创作策略提供更高级别的用户界面。
对此进行建模的一种方法是让每个链接在 TSPM 的 UI 中由不同的结构点表示,并为每个链接附加适当的策略。例如,两个链接可能具有表示“随时允许所有用户”的策略,一个链接可能具有“当前时间在午夜之前时允许”。
然后,您将在呈现每个链接之前调用我们的运行时,以查看当前经过身份验证的用户是否应该能够查看它。如果您愿意,您也可以调用一个电话以获取当前可查看链接的列表。
如果您在 WebSphere 上运行,您可以使用 WebSphere Portal 标记库或我们的授权 API。如果你不是,那么为大多数平台构建一个 Web 服务客户端真的很容易,这些平台可以使用 XACML over SOAP 调用授权服务。有关调用授权服务的更多信息,请参阅我们的 public wiki .
编辑:
我意识到我并没有真正解决您的问题,即关于 XACML 方面的资源是什么。您可能知道,XACML 将请求上下文分为四个部分:主题、资源、操作和环境。这些部分中的每一个都包含零个或多个属性,每个属性都有一个标识符和一个类型。 XACML 中的资源只是“资源”部分中的一个属性或属性组合,它们共同唯一标识您要保护的任何内容。
规范定义了标识符 urn:oasis:names:tc:xacml:1.0:resource:resource-id为此,它可以是任何类型,但通常是字符串或 URI。
在您的用例中,每个链接可能有一个字符串标识符,如“link-1”、“link-2”和“link-3”。您的策略将使用这些标识符,并且您的应用程序将在为每个链接请求决策时传递这些标识符。
关于XACML 限制策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7663255/
26
4
0
目前我在一家在线支付公司工作,我需要实现一个访问控制系统。 2 年前,我将 XACML 用于实验目的,并将其用于管理系统(基于 Balana 的 XACML 实现)。我注意到 XACML Versio
我是 XACML 世界的新手。我已经阅读了一些关于 v3.0 标准的 JSON 和 REST 配置文件的文档,但我能找到的所有内容都与 XACML 请求和响应有关,而不是策略(这是我感兴趣的部分)。
如果我定义了一个 XACML 策略并在策略目标中提供了一些属性,我真的需要提供额外的规则吗? 最佳答案 是的,您需要一个规则来实际说明您是要允许还是拒绝访问。 关于XACML - 策略是否真的需要规则
有没有什么办法不用ALFA Eclipse插件就可以使用ALFA生成XACML?我想创建一个策略创建者并以编程方式创建 ALFA 并将其转换为 XACML 比尝试生成 XACML 更可取,对吗? 最佳
我对 XACML(可扩展访问控制标记语言)非常陌生,我正在研究 TSPM(它是使用 XACML 的商业产品)可以为某些业务需求做些什么。 所以我一直在寻找这个问题的答案: 假设我有一个网站页面,其中包
我们如何在 XACML 中使用义务?任何引用都会有所帮助 场景是义务应该引用 PIP 并将结果返回给 PEP 谢谢 来自作者评论的示例:
我已经开始对 XACML 和外部授权做一些研究。现在我有一个使用 RBAC 模型的现有应用程序。然而,该实现有很多缺点(角色不容易定义,角色过于粗糙)。 XACML 是一个不错的选择吗?是否有任何现有
我想修复 XACML 语言中目标和条件之间的差异,以及何时应该使用目标或条件。 最佳答案 目标和条件都允许您定义规则是否评估为允许、拒绝、不适用或不确定。 条件只能包含在规则中,与目标相比,它们允许动
除了 Sun XACML 实现和 XEngine 之外,还有人编写过 XACML 实现吗? 谁在他们的产品中使用它们? 哪些供应商提供 PDP?我读过一些有关 WebLogic XACML Provi
您好,我正在尝试 XACML3,我发现请求与条件匹配,我得到的响应为“许可”。但如果不适用,我会得到“不适用”而不是“拒绝”。我不确定这种行为是否正确。我确实知道我可以使用 deny-unless-p
我目前正在尝试为一个应用程序实现 XACML,并且刚刚开始使用 AuthZForce 库来解决它。我有一个示例策略,例如: Policy for Conformance
例如,"urn:oasis:names:tc:xacml:1.0:subject:session-start-time"是什么意思?我怎么知道 session 开始时间的格式?是 yyyy-MM-dd
我是 XACML 政策的新手。你能告诉我如何实现 XACML 策略吗?我尝试过不同的 API。但是对于我的项目,我需要实现 XACML 评估引擎。那么,你能帮我提供实现细节吗?哪种语言最适合实现评估引
我的问题与 XACML 上下文处理程序的角色和目的有关。如果我正确理解 OASIS XACML3.0 规范,PEP 会拦截来自客户端应用程序的对某些资源或访问的请求,然后使用上下文处理程序创建适合 P
以下规则表示具有角色“acme_manager”的主体可以对资源“/acme/widgets”执行任何操作:
我正在尝试编写一个将利用自定义属性的 XACML 策略。我在想这样的事情:
我有一个用 node js 制作的 API REST,现在我想实现一些 XACML 策略。我一直在寻找,我发现我可以使用 ALFA 来制定 XACML 规则。但我需要一个 PDP 来应用规则。我可以使
我有一个用 node js 制作的 API REST,现在我想实现一些 XACML 策略。我一直在寻找,我发现我可以使用 ALFA 来制定 XACML 规则。但我需要一个 PDP 来应用规则。我可以使
我是 XACML(可扩展访问控制标记语言)的新手,我有点困惑。我不明白什么是个人资料。例如 RBAC 或 SAML 配置文件。 它们之间有什么区别?结构和元素不总是一样的吗? 谢谢你的帮助 最佳答案
我对与 WSO2 Balana 库一起使用的 XACML 策略有疑问。 制定政策:
我是一名优秀的程序员,十分优秀!