我们如何使用 XACML 中的义务?任何参考都会有帮助
这种情况是义务应提交 PIP 并将结果返回给 PEP
Thanks
作者评论中的示例:
<ObligationExpressions>
<ObligationExpression ObligationId="EmailObligation" FulfillOn="Permit">
<AttributeAssignmentExpression AttributeId="urn:oasis:names:tc:xacml:3.0:example:attribute:text">
<AttributeDesignator MustBePresent="false" Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject" AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id" DataType="w3.org/2001/XMLSchema#string"/>
</AttributeAssignmentExpression>
</ObligationExpression>
</ObligationExpressions>
XACML 中的义务(以及 XACML 3.0 中引入的建议)用于丰富授权流程。
典型的 XACML 响应仅包含一个决定(允许、拒绝、不适用或不确定)。但是,如果您想告诉用户访问被拒绝的原因该怎么办?如果您想实现“打破玻璃”场景该怎么办?
这就是义务和建议派上用场的地方。这里有一些例子:
- 拒绝 Alice 访问文档 D + 义务:向她的经理 Bob 发送电子邮件,让他知道 Alice 尝试访问文档 D。
- 否认House医生查看病历的权利+义务:告诉House医生他可以“打破玻璃”访问病历。
- 允许 Joe 查看文档 D,但首先在文档上添加水印,然后再将其返回给 Joe
在 XACML 3.0 中,义务和建议可以包含可变部分,例如 - 在上面的示例中 - 经理的电子邮件。这些部分可以从 PIP 中检索。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
