XACML comme étape d'évolution dans une application existante
-
06-07-2019 - |
Question
J'ai commencé des recherches sur XACML et les autorisations externes. À l'heure actuelle, j'ai une application existante qui utilise un modèle RBAC. Cependant, la mise en œuvre présente de nombreuses lacunes (les rôles ne peuvent pas être facilement définis, les rôles sont trop grossiers).
Est-ce que XACML est une bonne alternative à regarder? Existe-t-il des applications existantes qui sont passées de RBAC à XACML? Y a-t-il des lacunes?
La solution
Clause de non-responsabilité : je suis un développeur pour IBM et je travaille sur notre produit qui utilise beaucoup XACML (Tivoli Security Policy Manager). Je suis un peu biaisé vers XACML.
Je pense que XACML est une excellente alternative, principalement parce qu’il peut prendre en charge presque tous les modèles de sécurité. Je suggère de modéliser votre solution RBAC existante en XACML (voir
Autres conseils
Je suis l’architecte de la sécurité chez WSO2 - qui développe WSO2 Identity Server, un serveur de gestion d’identités et de droits à code source ouvert, avec suport XACML.
Je pense moi aussi que XACML est une bonne alternative pour externaliser la logique d’autorisation à partir du code de l’application. Nous avons récemment travaillé avec quelques clients [l'un d'entre eux fait partie du groupe Fortune 100], passant à XACML de différentes règles d'autorisation propriétaires.
Je suis d'accord avec mes homologues d'IBM et de WS02 respectivement. Je travaille pour Axiomatics. Nous nous concentrons exclusivement sur les autorisations basées sur XACML.
Nous avons des clients qui sont passés de RBAC à ABAC. Certains ont décidé d'utiliser le profil RBAC pour XACML comme étape intermédiaire (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html). Ce qui est intéressant, c’est que vous pouvez utiliser votre infrastructure RBAC existante pour créer ABAC par dessus.
Nous n'avons encore vu aucune lacune. Au mieux, les clients voient rapidement le retour sur investissement avec XACML: c'est moins cher et plus flexible. Vous pouvez utiliser plusieurs implémentations (vous pouvez combiner IBM, WS02 et Axiomatics et tout fonctionnerait encore) et le secteur bénéficie d’un soutien important.
Consultez la page XACML TC pour plus d'informations: http: //www.oasis-open .org / comités / xacml /