既存のアプリケーションの進化ステップとしてのXACML
-
06-07-2019 - |
質問
XACMLおよび外部認証に関する調査を開始しました。現在、RBACモデルを利用する既存のアプリケーションがあります。ただし、実装には多くの欠点があります(ロールを簡単に定義することはできません。ロールは粗すぎます)。
XACMLを見るのは良い選択肢ですか? RBACオリジンからXACMLに切り替えた既存のアプリケーションはありますか?欠点はありますか?
解決
免責事項:私はIBMの開発者であり、XACMLを広範囲に使用する製品(Tivoli Security Policy Manager)に取り組んでいます。私はXACMLに少し偏っています。
XACMLは、主にほぼすべてのセキュリティモデルをサポートできるため、優れた代替手段だと思います。 XACMLで既存のRBACソリューションをモデリングすることをお勧めします(
他のヒント
私はWSO2のセキュリティアーキテクトです。XSOMLをサポートするオープンソースのIDおよび資格管理サーバーであるWSO2 Identity Serverを開発しています。
私も、XACMLがアプリケーションコードから認証ロジックを外部化するための優れた代替手段であると考えています。私たちは最近、少数の顧客と協力しました(そのうちの1人はFortune 100に属します)-さまざまな独自の承認規則からXACMLに移行しました。
IBMとWS02のそれぞれのカウンターパートに同意します。私は公理学で働いています。 XACMLに基づく認証のみに焦点を当てています。
RBACからABACに移行したお客様がいます。中には、XACMLのRBACプロファイルを使用することに決めた人もいます(http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html)。興味深いのは、既存のRBACインフラストラクチャを使用してABACを構築できることです。
まだ欠点はありません。どちらかといえば、顧客はXACMLを使用してROIをすぐに確認できます。より安価で柔軟性があります。複数の実装を使用できます(IBM、WS02、およびAxiomaticsを混在させることができ、それでも動作します)。業界からの強力なサポートがあります。
詳細については、XACML TCページをご覧ください: http://www.oasis-open .org / committees / xacml /