IdAM产品供应商是否正在积极使用资源标识符(urn:oasis:names:tc:xacml:1.0:resource:resource-id)的格式/结构的标准或批准的配置文件?我一直在针对Oracle Entitlements Server(OES),ForgeRock OpenAM和WSO2 Identity Server(WSO2IS)等产品开发原型代码大约一年,资源标识符本质上似乎是特定于供应商的。例如,根据我的经验:
在OES 中,资源标识符采用/ 应用程序名称 / 资源类型 / 的形式由斜杠分隔的资源元素
在OpenAM 中,资源标识符似乎采用/ 领域 / 应用程序名称 /
在WSO2IS 中似乎没有强制执行特定格式,至少不是通过管理GUI
在Axiomatics Policy Server 中,用户可以选择他们喜欢的格式。
我已经审核了Hierarchical Resource Profile,但我没有看到(或已经错过)上述供应商特别支持此配置文件的位置。 (我也不是100%肯定它对我提出的具体问题的适用性,这就是我提到它的原因。)
关注的一个特定领域是由作为PEP角色的应用程序保护的资源建模,因为似乎有一定数量的特定于供应商/实现的信息是建模资源标识符。在我们的客户中,强烈希望保持供应商/供应商的中立,这是他们对基于标准的(XACML)实施感兴趣的主要原因之一。
非常感谢有关此主题的任何指导或参考。
答案 0 :(得分:1)
在XACML中,您可以自由选择结构。没有预定义的结构。 OES和WSO2都会让你成为一个结构,让你的管理工具变得更容易,正如你所指出的那样,你可以锁定这些供应商。
有一个 - 你指出 - 一个称为分层资源配置文件的配置文件,它定义了如何创建自己的资源ID。我检查了绿洲委员会技术清单,据我所知,只有SunXACML和Axiomatics实现它。
如果你看看纯粹的XACML 3.0实现,例如Axiomatics Policy Server您将看到您可以定义自己的属性,自己的分类和策略结构。您并未受到供应商对世界的看法。