XACML как этап эволюции в существующем приложении
https://stackoverflow.com/questions/1625726
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я начал изучать XACML и внешнюю авторизацию. Прямо сейчас у меня есть существующее приложение, которое использует модель RBAC. Однако у реализации есть много недостатков (роли не могут быть легко определены, роли слишком грубые).
Является ли XACML хорошей альтернативой? Существуют ли какие-либо существующие приложения, которые перешли на XACML из источника RBAC? Есть ли недостатки?
Решение
Отказ от ответственности . Я являюсь разработчиком для IBM и работаю над нашим продуктом, который широко использует XACML (Tivoli Security Policy Manager). Я немного склонен к XACML.
Я думаю, что XACML - отличная альтернатива, главным образом потому, что он может поддерживать практически любую модель безопасности. Я бы предложил смоделировать существующее решение RBAC в XACML (см. профиль ), а затем расширив его, включив более детальный контроль доступа, если этого требуют ваши бизнес-требования.
Включение кода авторизации в политику дает дополнительное преимущество, заключающееся в возможности изменения модели безопасности вашего приложения без перекомпиляции.
Существуют ли какие-либо существующие приложения, которые перешли на XACML из источника RBAC?
К сожалению, я не знаю ни одного конкретного примера, по крайней мере, о котором я могу говорить публично. Существует внутренний проект IBM, который выделил месяц на реализацию модуля авторизации, но выполнил его за неделю, выполнив экстернализацию с помощью нашей реализации XACML. Это, очевидно, отличается от вашего примера, так как это были «зеленые поля» проект развития, но подчеркивает, что при общем подходе, который вы рассматриваете, есть преимущества.
Другие советы
Я архитектор безопасности в WSO2, который разрабатывает WSO2 Identity Server, сервер управления идентификацией и правами с открытым исходным кодом, с поддержкой XACML.
Я тоже считаю, что XACML - это хорошая альтернатива экстернализации логики авторизации из кода приложения. Недавно мы работали с немногими клиентами [один из них входит в число Fortune 100] - переходя на XACML из-за различных проприетарных правил авторизации.
Я согласен с моими коллегами из IBM и WS02 соответственно. Я работаю для аксиоматики. Мы ориентируемся исключительно на авторизацию на основе XACML.
У нас есть клиенты, которые перешли из RBAC в ABAC. Некоторые решили использовать профиль RBAC для XACML в качестве промежуточного шага (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html). Что интересно, вы можете использовать существующую инфраструктуру RBAC для построения ABAC на вершине.
Мы еще не видели никаких недостатков. Во всяком случае, клиенты быстро видят рентабельность инвестиций с помощью XACML: это дешевле и более гибко. Вы можете использовать несколько реализаций (вы можете смешать IBM, WS02 и Axiomatics вместе, и это все равно будет работать), и в отрасли существует сильная поддержка.
Посетите страницу XACML TC для получения дополнительной информации: http: //www.oasis-open .org / комитеты / XACML /
