我试图弄清楚如何使用 Balana 的 XACML 实现来实现授权机制(WSO2 的权利引擎基于 Balana)。
当用户请求访问单个资源时(例如,鲍勃想要阅读医疗记录),事情就很简单了。
然而,假设鲍勃想要阅读他所有患者的医疗记录。这里的第一个问题是需要有一种方法来确定谁是他的病人。我还需要获取他的患者的每个单独记录的属性。问题是,我正在尝试解决这种情况,同时将对 PIP 属性的请求数量保持在最低限度。
重新表述一下我的目标:我正在尝试根据 PIP 返回的属性(并且我希望我的 PIP例如,与数据库的交互尽可能少)。
简而言之,我发现当尝试使用 XACML 控制对资源集合的访问时,事情会变得棘手。
我在这里找到了几个选项:
我的请求包含主题、操作、资源 ID 和范围。我使用 XACML 多重决策配置文件:PDP 知道子级/后代资源是有针对性的,因此它将为每个子级/后代创建多个评估上下文(但尚未找到资源的属性)。然后,使用 PIP,它将检索每个单独评估上下文的属性(例如,获取 bob 的医生 ID,然后获取每个单独资源的医生 ID)。例如,如果我的 PIP 正在查询数据库,它将针对每个单独的请求对每个单独的属性执行大量查询,因此对性能有很大影响。
我的请求包含主题、操作、资源 ID。我不再使用多重决策配置文件。然而,在创建评估上下文并要求 PDP 评估我的请求之前,我知道我的资源实际上是一个集合,因此我以某种方式获取所有子代/后代及其所有属性,并且只有在获得所有这些信息后,我才手动创建个人决策对每个子/后代的请求,并在其中填充所有相应的属性。因此,我向 PDP 提出了一份详细的决策请求,其中包含几乎所有必要的属性。由于决策请求几乎具有评估上下文中的所有属性,因此无需询问我的 PIP。这样做的好处是,我在 PDP 评估决策之前就获得了所有信息,因此 PIP 必须做的工作保持在最低限度。但是,我不确定我是否应该在到达 PDP 之前找到子级/后代及其所有属性(如 XACML 规范所述,在上下文处理程序中的某个位置)。
我的请求包含主题、操作、资源 ID。我使用多重决策配置文件。我有一个可以查找子代/后代资源和一些 PIP 的组件。所有这些组件都使用一个存储库,假设该存储库称为 MedicalRecordsRepository。该存储库在请求子代/后代 ID 时,还会从数据库获取所有属性并将所有这些信息存储在缓存中。因此,当有多个单独评估的评估上下文时,如果请求 PIP 返回一个属性,它将从存储库的缓存中获取该属性。因此,数据库交互保持在最低限度。然而,问题在于存储库组件及其缓存。
我已经阅读了规范,我进行了研究,但我还没有找到解决这个问题的方法。有人有什么想法吗?
提前致谢!
简而言之,我发现当尝试使用 XACML 控制对资源集合的访问时,事情会变得棘手。
你是对的。 XACML 很好地解决了事务和功能访问控制。它不能很好地处理数据访问控制。
- 事务访问控制:Alice 可以查看医疗记录#1吗?
- 功能访问控制:Alice 可以查看医疗记录吗?
- 数据访问控制:Alice 可以查看哪些医疗记录?
我不确定我是否完全掌握了您的三种方法,但您确实强调了相关问题,即
- 不知道有多少物品
- 从外部属性源检索属性(想象每条医疗记录有 10 个属性乘以 1,000,000 条记录 - 即 1000 万次查找)
根据我的经验,当您有数千个请求时,多个决策配置文件请求效果很好。除此之外,我会考虑 Axiomatics 反向查询(免责声明 - 我为 Axiomatics 工作)。反向查询通过公开一个 API 来解决您的问题,该 API 允许您提出开放式问题,例如
响应将是必须满足的一组条件。例如,如果您的策略如下(使用 ALFA 表示法):
使用 ALFA 表示法的 XACML 策略
policy accessMedicalRecord{
target clause com.axiomatics.examples.actionId == "view" and objectType == "medical record"
apply firstApplicable
/**
* Doctors can view medical records of patients they are assigned to
*/
rule allowRegularAccess{
target clause user.role == "doctor"
condition patient.assignedDoctor == user.identifier
permit
}
}
ARQ 请求/响应示例
- 请求:医生 Alice 可以查看哪些医疗记录?
- 回应: 允许,如果
patient.assignedDoctor == "Alice"
答案可以翻译成查询语言,例如SQL:
SELECT id FROM MED_RECORDS WHERE assignedDoc = 'Alice';
它也可能是另一种查询语言。然后,您可以使用它来查询数据源,例如SQL 数据库并检索相关医疗记录。
另请参阅此Stackoverflow 问答 https://stackoverflow.com/questions/50462996/xacml-how-to-efficiently-control-access-to-collections-lists-of-resources/50476992#50476992.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)