XACML como un paso de evolución en una aplicación existente
-
06-07-2019 - |
Pregunta
He comenzado a investigar un poco sobre XACML y la autorización externa. En este momento tengo una aplicación existente que utiliza un modelo RBAC. Sin embargo, la implementación tiene muchas deficiencias (los roles no se pueden definir fácilmente, los roles son demasiado gruesos).
¿Es XACML una buena alternativa para mirar? ¿Existen aplicaciones existentes que hayan cambiado a XACML desde un origen RBAC? ¿Hay alguna deficiencia?
Solución
Descargo de responsabilidad : soy desarrollador de IBM y trabajo en nuestro producto que utiliza XACML ampliamente (Tivoli Security Policy Manager). Estoy un poco sesgado hacia XACML.
Creo que XACML es una gran alternativa, principalmente porque puede soportar casi cualquier modelo de seguridad. Sugeriría modelar su solución RBAC existente en XACML (consulte
Otros consejos
Soy el arquitecto de seguridad de WSO2, que desarrolla el Servidor de Identidad WSO2, un servidor de gestión de Identidad y Derechos de código abierto, con soporte XACML.
También creo que XACML es una buena alternativa para externalizar la lógica de autorización del código de la aplicación. Recientemente trabajamos con pocos clientes [uno de ellos está entre Fortune 100], pasando a XACML desde diferentes reglas de autorización de propiedad.
Estoy de acuerdo con mis homólogos de IBM y WS02 respectivamente. Yo trabajo para Axiomatics. Nos centramos exclusivamente en la autorización basada en XACML.
Tenemos clientes que se mudaron de RBAC a ABAC. Algunos decidieron usar el perfil RBAC para XACML como un paso intermedio (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html). Lo interesante es que puede usar su infraestructura RBAC existente para construir ABAC en la parte superior.
Todavía no hemos visto ninguna deficiencia. En todo caso, los clientes ven rápidamente el ROI con XACML: es más barato y más flexible. Puede usar múltiples implementaciones (podría mezclar IBM, WS02 y Axiomatics y aún funcionaría) y existe un fuerte apoyo de la industria.
Consulte la página XACML TC para obtener más información: http: //www.oasis-open .org / committees / xacml /