XACML als Evolutionsschritt in einer bestehenden Anwendung
https://stackoverflow.com/questions/1625726
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe auf XACML und externe Autorisierung einige der Forschung begonnen tun. Im Moment habe ich eine bestehende Anwendung, die utilizies eine RBAC-Modell. Doch die Umsetzung viele Mängel hat (Rollen können nicht einfach definiert werden, sind Rollen zu coarsly körniger).
Ist XACML eine gute Alternative zu betrachten? Gibt es exisitng Anwendungen, die auf XACML von einer RBAC Herkunft eingeschaltet haben? Gibt es Mängel?
Lösung
Hinweis : Ich bin ein Entwickler für IBM, und ich arbeite auf unser Produkt, das XACML nutzt extensiv (Tivoli Security Policy Manager). Ich bin ein wenig voreingenommen gegenüber XACML.
Ich denke, XACML ist eine gute Alternative, vor allem, weil es fast jedes Sicherheitsmodell unterstützen kann. Ich würde vorschlagen, dass Ihre bestehende RBAC Lösung in XACML (siehe das Profil ), erstreckt es dann feinere Zugriffskontrolle aufgenommen werden, wo Ihre geschäftlichen Anforderungen es verlangen.
Externalisierende Ihren Autorisierungscode in der Politik hat den zusätzlichen Vorteil, dass die Anwendung des Sicherheitsmodell zu ändern, ohne es neu zu kompilieren.
Gibt es exisitng Anwendungen, die auf XACML von einer RBAC Herkunft eingeschaltet haben?
Leider bin ich nicht bekannt, dass bestimmte Beispiele, zumindest diejenigen, die ich über öffentlich sprechen kann. Es gibt ein internes IBM-Projekt, das einen Monat zugewiesen für ihre Zulassung Modul umgesetzt, sondern bekam es in einer Woche getan, indem es mit unserem XACML Implementierung Externalisierung. Dies ist natürlich ein andere zu Ihrem Beispiel, da es ein „grünen Felder“ Entwicklungsprojekt wurde betont aber, dass es Vorteile sind mit dem allgemeinen Ansatz werden mußten Sie in Betracht ziehen.
Andere Tipps
Ich bin der Sicherheitsarchitekt bei WSO2 -. Die Server WSO2 Identity Server, eine Open-Source Identität und Berechtigungsmanagement, mit XACML suport
entwickeltAuch ich glaube, XACML ist eine gute Alternative Berechtigungslogik von der Anwendungscode zu externalisieren. Wir arbeiteten vor kurzem mit einigen Kunden [einer von ihnen unter dem Fortune-100] - aus verschiedenen proprietären Berechtigungsregeln zu XACML bewegen.
Ich bin mit meinen Kollegen von IBM und WS02 ist. Ich arbeite für Axiomatics. Wir konzentrieren uns ausschließlich auf Zulassung basiert auf XACML.
Wir haben Kunden, die von RBAC zu ABAC bewegt. Einige beschlossen, das RBAC-Profil für XACML als mittlere Stufe zu verwenden (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html). Interessant ist, dass Sie Ihre bestehende Infrastruktur RBAC können ABAC auf bauen.
Wir haben keine Mängel noch gesehen. Wenn überhaupt, sehen Kunden schnell den ROI mit XACML: es ist billiger und flexibler. Sie können mehrere Implementierungen verwenden (Sie können mischen IBM, WS02 und Axiomatics zusammen und es würde immer noch funktionieren) und es gibt starke Unterstützung aus der Industrie.
Überprüfen Sie die XACML TC Seite für weitere Informationen aus: http: //www.oasis-open .org / Ausschüsse / XACML /
