gpt4 book ai didi

XACML 限制策略

转载 作者:行者123 更新时间:2023-12-04 06:12:05 26 4
gpt4 key购买 nike

我对 XACML(可扩展访问控制标记语言)非常陌生,我正在研究 TSPM(它是使用 XACML 的商业产品)可以为某些业务需求做些什么。

所以我一直在寻找这个问题的答案:

假设我有一个网站页面,其中包含由具有特定应用程序配置文件的用户访问的 3 个链接。
是否可以根据某些规则创建一个限制和管理“链接”的策略(假设某个个人资料用户在午夜之前只能看到 2 个链接而不是 3 个)?

主要问题是我无法弄清楚 XACML 断言中的资源是什么,我刚刚在一些文档中找到了这个定义:

资源是可以控制访问的任何东西。示例包括 XQuery 模块和 Java 方法。

任何人都可以通过实际示例 XACML 帮助更好地理解?

谢谢你们!

最佳答案

(我是 TSPM 的技术主管,或者是不熟悉该产品的其他人的 Tivoli Security Policy Manager)。

您描述的用例绝对是可能的。不过,您可能不需要关注原始 XACML - 我们付出了很多努力来为创作策略提供更高级别的用户界面。

对此进行建模的一种方法是让每个链接在 TSPM 的 UI 中由不同的结构点表示,并为每个链接附加适当的策略。例如,两个链接可能具有表示“随时允许所有用户”的策略,一个链接可能具有“当前时间在午夜之前时允许”。

然后,您将在呈现每个链接之前调用我们的运行时,以查看当前经过身份验证的用户是否应该能够查看它。如果您愿意,您也可以调用一个电话以获取当前可查看链接的列表。

如果您在 WebSphere 上运行,您可以使用 WebSphere Portal 标记库或我们的授权 API。如果你不是,那么为大多数平台构建一个 Web 服务客户端真的很容易,这些平台可以使用 XACML over SOAP 调用授权服务。有关调用授权服务的更多信息,请参阅我们的 public wiki .

编辑:

我意识到我并没有真正解决您的问题,即关于 XACML 方面的资源是什么。您可能知道,XACML 将请求上下文分为四个部分:主题、资源、操作和环境。这些部分中的每一个都包含零个或多个属性,每个属性都有一个标识符和一个类型。 XACML 中的资源只是“资源”部分中的一个属性或属性组合,它们共同唯一标识您要保护的任何内容。

规范定义了标识符 urn:oasis:names:tc:xacml:1.0:resource:resource-id为此,它可以是任何类型,但通常是字符串或 URI。

在您的用例中,每个链接可能有一个字符串标识符,如“link-1”、“link-2”和“link-3”。您的策略将使用这些标识符,并且您的应用程序将在为每个链接请求决策时传递这些标识符。

关于XACML 限制策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7663255/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com