XACML ve harici yetkilendirme hakkında bazı araştırmalar yapmaya başladım. Şu anda bir RBAC modelini kullanan mevcut bir uygulama var. Bununla birlikte, uygulamada pek çok eksiklik vardır (roller kolaylıkla tanımlanamaz, roller çok kaba tanelidir).XACML varolan bir uygulamada bir evrim adımı olarak
XACML, bakmak için iyi bir alternatif midir? Bir RBAC orijininden XACML'ye geçen herhangi bir exisitng uygulaması var mı? Herhangi bir eksiklik var mı?
Sorumluluk Reddi: IBM için bir geliştiriciyim ve XACML'yi kapsamlı olarak kullanan ürünümüz üzerinde çalışıyorum (Tivoli Security Policy Manager). XACML'ye karşı biraz önyargılıyım.
Sanırım XACML büyük bir alternatif, çünkü neredeyse her güvenlik modelini destekleyebiliyor. Mevcut RBAC çözümünüzü XACML'de modellemeyi öneririm (bkz. the profile), daha sonra iş gereksinimlerinizin talep ettiği daha ince taneli erişim denetimini içerecek şekilde genişletmek.
Yetkilendirme kodunuzu ilkeye göre dışa vurma, uygulamanızın güvenlik modelini yeniden derleme yapmadan değiştirebilmenin avantajına sahiptir. RBAC kökenli XACML açtınız herhangi exisitng uygulamalar
var mı?
Ne yazık ki, herhangi bir özel örnekler farkında değilim ben alenen bahsedebiliriz az olanlar. Yetkilendirme modüllerini uygulamak için bir ay ayıran bir iç IBM projesi var, ancak XACML uygulamanızı kullanarak bunu dışlayarak bir hafta içinde tamamladı. Bu, sizin "yeşil alanlar" geliştirme projesi olduğu için örneğinizden farklıdır, ancak düşündüğünüz genel yaklaşımla elde edilecek faydaların olduğunu vurgular.
WSO2'de güvenlik mimarisi yapıyorum - bu, XACML desteğiyle bir açık kaynak Kimlik ve Yetkilendirme yönetim sunucusu olan WSO2 Identity Server'ı geliştiriyor.
XACML'in, uygulama mantığından yetkilendirme mantığını dışa aktarmak için iyi bir alternatif olduğuna inanıyorum. Kısa bir süre önce birkaç müşteriyle [bir tanesi Fortune 100 arasında] çalıştık - farklı özel yetkilendirme kurallarından XACML'ye geçtik.
Sırasıyla IBM ve WS02'deki muadillerime katılıyorum. Axiomatics için çalışıyorum. Biz sadece XACML'ye dayanan yetkilendirmeye odaklanıyoruz.
RBAC'tan ABAC'ye taşınan müşterilerimiz var. Bazıları XACML için RBAC profilini bir orta adım olarak kullanmaya karar verdiler (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html). İlginç olan, üstte ABAC oluşturmak için mevcut RBAC altyapınızı kullanabilmenizdir.
Henüz herhangi bir eksiklik görmedik. Bir şey varsa, müşteriler XACML ile ROI'yi çabucak görüyor: daha ucuz ve daha esnek. Birden çok uygulamayı (IBM, WS02 ve Axiomatics'i bir araya getirebilir ve yine de çalışabilir) kullanabilirsiniz ve sektörden güçlü destek vardır. Daha fazla bilgi için XACML TC sayfa üzerinden
Kontrol: ipuçları için http://www.oasis-open.org/committees/xacml/
teşekkürler! – spa