Да, это именно та проблема, что права OpenSSO предназначены для решения. Я сделал демо на JavaOne на прошлой неделе показали систему управления учетными записями демо-мобильный телефон с тремя политики:
- Каждый телефон пользователь может читать свои собственные права (например, можно скачать музыку/видео) и журнал вызовов.
- Владелец учетной записи может читать и записывать разрешения всех телефонов в учетной записи и просматривать журналы вызовов для всех телефонов в учетной записи.
- Владелец учетной записи может считывать и записывать данные учетной записи (например, адрес фактурирования).
Я отправлю исходный код демонстрации и объясню, как развернуть его на my blog.
Чтобы ответить на вторую часть вашего вопроса, есть корпоративный репозиторий для политики, но он применяется на основе приложения. В демонстрации большинство принудительных действий выполняется с помощью фильтра сервлета, который делает права на вызовы для каждого запрошенного URL. Это хорошо работает, поскольку мы использовали веб-службы RESTful, которые выражают запрошенный ресурс в URL-адресе. В одном месте мы сделали явный вызов политики, поскольку шаблон URL не соответствовал политике - клиент мог перейти к ресурсу учетной записи с помощью URL-адреса телефона. Я ожидаю, что я мог бы создать другую политику, чтобы справиться с этим, но я действительно хотел показать явный запрос на получение права.