XACML come fase di evoluzione in un'applicazione esistente
-
06-07-2019 - |
Domanda
Ho iniziato a fare alcune ricerche su XACML e autorizzazioni esterne. In questo momento ho un'applicazione esistente che utilizza un modello RBAC. Tuttavia l'implementazione presenta molte carenze (i ruoli non possono essere facilmente definiti, i ruoli sono troppo grossolani).
XACML è una buona alternativa da guardare? Esistono applicazioni esistenti che sono passate a XACML da un'origine RBAC? Ci sono delle carenze?
Soluzione
Disclaimer : sono uno sviluppatore per IBM e lavoro sul nostro prodotto che utilizza ampiamente XACML (Tivoli Security Policy Manager). Sono un po 'di parte nei confronti di XACML.
Penso che XACML sia un'ottima alternativa, principalmente perché può supportare quasi tutti i modelli di sicurezza. Suggerirei di modellare la tua soluzione RBAC esistente in XACML (vedi
Altri suggerimenti
Sono l'architetto della sicurezza di WSO2, che sviluppa WSO2 Identity Server, un server di gestione di identità e titolarità open source, con supporto XACML.
Anche io credo che XACML sia una buona alternativa per esternalizzare la logica di autorizzazione dal codice dell'applicazione. Di recente abbiamo lavorato con pochi clienti [uno di questi è tra i Fortune 100], passando a XACML da diverse regole di autorizzazione proprietarie.
Sono d'accordo con le mie controparti rispettivamente di IBM e WS02. Lavoro per Axiomatics. Ci concentriamo esclusivamente sull'autorizzazione basata su XACML.
Abbiamo clienti che si sono trasferiti da RBAC a ABAC. Alcuni hanno deciso di utilizzare il profilo RBAC per XACML come passaggio intermedio (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html). La cosa interessante è che puoi usare la tua infrastruttura RBAC esistente per costruire ABAC in cima.
Non abbiamo ancora riscontrato difetti. Semmai, i clienti vedono rapidamente il ROI con XACML: è più economico e più flessibile. Puoi utilizzare più implementazioni (potresti mescolare IBM, WS02 e Axiomatics insieme e funzionerebbe ancora) e c'è un forte supporto da parte del settore.
Controlla la pagina XACML TC per maggiori informazioni: http: //www.oasis-open .org / comitati / XACML /