2014-11-06 5 views
1

Есть ли способ создать общий контроль доступа на основе ролей (RBAC) в корпоративных приложениях, чтобы другие приложения могли также использовать одну и ту же конфигурацию?Общий дизайн XACML RBAC для множества приложений

Я видел поддержку WSo2 Rbac с XACML, но я не могу понять, как разрабатывать общие политики RBAC, чтобы другие приложения также могли ее использовать.

Я понял, как создавать политики в XACML с WSO2 Identity Server, но я не могу понять, как все приложения Java будут использовать эти политики?

ответ

0

Для использования политик XACML в ваших приложениях необходимо установить агент XACML PEP (Policy Enforcement Point), интегрированный с вашим приложением. Агент PEP перехватит все ваши запросы на доступ к ресурсу и преобразует его в XACML-запрос, а затем связывается с сервером политики XACML для принятия решения.

Если ваше приложение является веб-приложением Java, вы можете создать фильтр сервлетов в качестве PEP. Вы можете найти образец here и here.

Если вы используете его для авторизации на уровне поля или вне веб-приложения, вы можете использовать клиент PEP на основе бережливости, который будет связываться с вашим сервером политики XACML. Вы можете найти образец PEP, используя java here. Thrift - более эффективный протокол, чем SOAP или REST.

+0

Большое спасибо Дэвид и Юсуф ответ. Я думаю, что это сделать один Spring AOP Layer, чтобы каждый вызов метода был разрешен и доступ/ограничен. Также будет WSO2 ESB, который сделает запрос на авторизацию сервером WSO2 Identity. Я отправлю здесь свое обновление с вопросами, если их будет. Спасибо за ваши ответы еще раз. – Budhh

0

В дополнение к ответу Юсуфа, в котором основное внимание уделяется обеспечению соблюдения, вы также должны рассмотреть возможность использования RBAC Profile of XACML, который фокусируется на самом дизайне политики. В нем объясняется, как разрабатывать политики для приложений, ориентированных на RBAC.

В профиле, показанном на диаграмме ниже, политики организованы в политики ролей и политики разрешений. Благодаря использованию ссылок на политику можно назначить несколько разрешений нескольким политикам ролей. Также возможно, чтобы роли наследовали другие роли (например, менеджер наследовал бы разрешения сотрудника).

НТН

RBAC Profile of XACML - Policy Structure

+0

HI David, возможно ли предоставить вам типовые политики, которые объясняют диаграмму выше. – Budhh

 Смежные вопросы

  • Нет связанных вопросов^_^