2014-10-22 6 views
0

У меня есть следующий сценарий:точки XACML политики Enforcement (PEP) Best Practices

в бизнес-процесса должны быть приняты многие решения, касающиеся различных аргументов.

например: первые роли проверки пользователей, а затем сделать некоторые бизнес-логику, а затем проверить бизнес-разрешения, ЕСС ...

моего вопроса:

при условии, что на PDP есть много политиков для каждого из что аргументы,

должен ли PEP выполнить один (большой) xacml-запрос PDP, содержащий все атрибуты (например, пользовательские роли, атрибуты buisiness, ecc)?

или

должны ПОВУП сделать несколько (короткий) запрос XACML к PDP, содержащий только один вид атрибутов (например: первый звонок с ролями пользователей, второй с бизнес-атрибутов, ЕСС ..)?

спасибо

ответ

0

РЕР никогда не должны знать о том, сколько политики ПРП уже не говоря уже о том, как они структурированы. Кроме того, у вас должен быть один запрос на вопрос авторизации. Если у вас несколько вариантов использования, например.

  • создать транзакция
  • вид транзакции
  • печать сделка
  • ОДОБРИТЬ транзакция

, то вы должны сделать 4 независимых запросов XACML. 1 Запрос XACML = 1 запрос авторизации. Если вы создали один запрос XACML с огромным количеством атрибутов, на самом деле вы бы не задавали 4 отдельных вопроса, а скорее странный микс, в соответствии с которым вам разрешалось бы, если бы какой-либо из предоставленных атрибутов вызывал разрешение (и, конечно, все зависит от по политике и комбинациям алгоритмов, которые у вас есть).

Чтобы сэкономить время туда и обратно (транспортная стоимость ...), вы можете использовать несколько Decision Профиль XACML (MDP), в котором вы можете задать на одном дыхании:

  • Может ли пользователь создавать, просматривать, распечатать, одобрить транзакцию X?

Сервер политики Axiomatics реализует профиль множественного решения. Вы можете прочитать это blog post to understand how to create the request.

HTH, David.

+1

спасибо, вы определенно ответили на мой вопрос. – Lorenzo