我正在处理分布式场景,其中我有多个PEP和PDP实例,在这种情况下,PDP将如何验证XACML请求来自我的可信PEP。
答案 0 :(得分:2)
可以有不同的方式来信任PEP。规范中没有明确提到。但是提到您必须使用SSL和身份验证机制(例如Basic / Digest身份验证)。还有一个SAML-XACML配置文件,讨论PEP-PDP通信。但我想,可以使用两种简单的方法。
使用SSL进行基本身份验证。每个PEP都有用户/密码。当PEP发送XACML请求时,必须在Basic auth头中发送User / Pass。 PDP可以通过处理Basic Auth头来验证用户/通行证。所有PDP都可以使用相同的凭证存储进行连接。
相互SSL。 (双向SSL)。您可以实施PDP以支持相互SSL。然后PEP必须通过交换证书来创建SSL会话。 PEP必须拥有自己的证书(私钥,公钥对)。要信任PDP认证的PEP,它们必须位于PDP的信任存储区中(或者由受信任的CA签署),然后PDP可以信任PEP的证书。