Что такое профиль XACML?

Я новичок в XACML (расширяемый язык разметки управления доступом), и я немного запутался. Я не понимаю, что такое профиль. Например, профили RBAC или SAML.

Какая между ними разница? Разве структура и элементы не всегда одинаковы?

Спасибо за помощь


rbac abac xacml
person DeLac    schedule 04.04.2012    source источник

Ответы (2)


arrow_upward
4
arrow_downward

Профили XACML определяют две вещи: какой AttributeId следует использовать для определенных фрагментов информации, и конкретную структуру, которую должна иметь политика.

XACML обладает мощными возможностями, главным образом благодаря своей гибкости, но за эту гибкость приходится платить, когда вы хотите обмениваться политиками между организациями. Например, одна организация может использовать идентификатор «логин-идентификатор» для указания имени учетной записи пользователя, тогда как другая может использовать «имя пользователя». Профили могут определять общеизвестные идентификаторы для этого атрибута.

Указание структуры может быть полезно, когда интерфейсы управления более высокого уровня строятся поверх некоторой политики. Часто бывает необходимо извлечь информацию из политики и представить ее пользователю, а ограничение структуры в профиле может быть способом документирования того, что ожидается.

Профили также можно использовать в качестве документа типа «вот способ сделать этот вариант использования в XACML», что избавляет клиентов и поставщиков от повторной реализации колеса.

person craigforster    schedule 10.04.2012

arrow_upward
1
arrow_downward

В XACML следует учитывать два типа профилей:

  1. Профили, которые определяют передовые методы использования XACML для выражения четко определенных сценариев, таких как экспортный контроль, защита интеллектуальной собственности и управление доступом на основе ролей. Это профили, которые упоминает Крейг. Эти профили не требуют какой-либо конкретной технической реализации от имени механизма XACML, кроме основного языка XACML 2.0/3.0. Они определяют набор общих атрибутов, их идентификаторы, их возможные значения и их использование в возможных политиках. См., например, профиль защиты IP здесь: http://docs.oasis-open.org/xacml/3.0/ipc/xacml-3.0-ipc-v1-spec-cs-01-en.pdf. Эти профили нацелены на определение интероперабельных способов выражения общих требований.
  2. Профили, которые расширяют техническое использование/область XACML 2.0/3.0. Такие профили требуют технической реализации от имени используемого движка. Такие профили включают профиль SAML XACML, профиль множественного решения и профиль административного делегирования. Профиль множественного решения, например, определяет, как точка применения политики может отправлять несколько запросов авторизации в рамках одного общего запроса XACML. Эти профили направлены на расширение технического диапазона XACML.

Надеюсь, это поможет, Дэвид.

person David Brossard    schedule 26.04.2012