XACML كخطوة تطور في تطبيق موجود
https://stackoverflow.com/questions/1625726
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لقد بدأت في إجراء بعض الأبحاث حول XACML والترخيص الخارجي. لدي الآن تطبيق موجود يستخدم نموذج RBAC. ومع ذلك ، يحتوي التنفيذ على الكثير من أوجه القصور (لا يمكن تحديد الأدوار بسهولة ، فإن الأدوار مصنوعة من الحبيبات الخشنة).
هل XACML بديل جيد للنظر فيه؟ هل هناك أي تطبيقات exisitng التي تحولت إلى XACML من أصل RBAC؟ هل توجد أوجه قصور؟
المحلول
تنصل: أنا مطور لـ IBM ، وأعمل على منتجنا الذي يستخدم XACML على نطاق واسع (مدير سياسة أمن Tivoli). أنا متحيز قليلاً تجاه XACML.
أعتقد أن XACML بديل رائع ، لأنه يمكن أن يدعم أي نموذج أمان تقريبًا. أقترح نمذجة حل RBAC الحالي في XACML (انظر الملف الشخصي) ، ثم توسيعها لتشمل التحكم في الوصول الدقيقة حيث تتطلب متطلبات عملك.
إن تحديد رمز التفويض الخاص بك في السياسة له ميزة إضافية تتمثل في القدرة على تعديل نموذج أمان التطبيق الخاص بك دون إعادة تعديله.
هل هناك أي تطبيقات exisitng التي تحولت إلى XACML من أصل RBAC؟
لسوء الحظ ، لست على دراية بأي أمثلة معينة ، على الأقل أمثلة يمكنني التحدث عنها علانية. هناك مشروع IBM داخلي قام بتخصيص شهر لتنفيذ وحدة التخويل الخاصة بهم ، لكنه تم القيام به في غضون أسبوع من خلال توجيهه إلى الخارج باستخدام تطبيق XACML الخاص بنا. من الواضح أن هذا يختلف عن مثالك لأنه كان مشروع تطوير "الحقول الخضراء" ، ولكن يسلط الضوء على وجود فوائد يجب الحصول عليها مع النهج العام الذي تفكر فيه.
نصائح أخرى
أنا مهندس الأمان في WSO2 - الذي يقوم بتطوير خادم هوية WSO2 ، وهو خادم مفتوح المصدر وإدارة الاستحقاق ، مع XACML Suport.
أعتقد أيضًا أن XACML هو بديل جيد لمنطق التفويض الخارجي من رمز التطبيق. لقد عملنا مؤخرًا مع عدد قليل من العملاء [أحدهم من بين Fortune 100] - الانتقال إلى XACML من قواعد إذن خاصة مختلفة.
وأنا أتفق مع نظرائي من IBM و WS02 على التوالي. أنا أعمل من أجل البديهيات. نحن نركز بشكل حصري على التفويض على أساس XACML.
لدينا عملاء انتقلوا من RBAC إلى ABAC. قرر البعض استخدام ملف تعريف RBAC لـ XACML كخطوة متوسطة (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-pec-03-en.html). الأمر المثير للاهتمام هو أنه يمكنك استخدام البنية التحتية RBAC الحالية لبناء ABAC في الأعلى.
لم نر أي عيوب حتى الآن. إذا كان أي شيء ، فإن العملاء يرون بسرعة العائد على الاستثمار مع XACML: إنه أرخص وأكثر مرونة. يمكنك استخدام تطبيقات متعددة (يمكنك مزج IBM و WS02 و Axiomatics معًا وستظل تعمل) وهناك دعم قوي من الصناعة.
تحقق من صفحة XACML TC لمزيد من المعلومات: http://www.oasis-open.org/committees/xacml/
