XACML策略建模:如何为多个资源建模策略?

时间:2016-10-31 13:47:57

标签: authorization access-control xacml abac alfa

我有一套资源。每个资源都有自己的安全策略,这是安全规则的组合。

要在XACML中创建这些策略,我可以使用什么:元素Policy或元素PolicySet

例如:

  • rule1:读取资源1,用户必须具有管理员角色
  • 规则2:要在资源2上书写,用户必须拥有来自域@ yahoo.com的电子邮件地址
  • rule3:阅读资源3,用户必须来自医院Saint George
  • 规则4:写资源1用户必须有护士角色。

在这种情况下:我应该为resource1创建一个策略元素,为资源2创建另一个策略元素,依此类推,在PolicySet元素下是什么?或者我应该在该安全规则1和2下创建一个策略元素,依此类推?

1 个答案:

答案 0 :(得分:1)

您可以选择以多种不同方式进行建模。不一定是对或错。当我培训客户时,我通常建议您设计策略以便:

  1. 他们很容易理解
  2. 它们易于管理
  3. 他们可以轻松成长以迎合新情景
  4. 他们允许合作。

    5. 最常见的模式是定义资源层次结构。例如,您将拥有财务应用程序&gt;帐户对象&gt; <个人信息部分>名称字段。

    然后您可以开始查看其他属性,例如用户属性(角色,部门......)

    您通常会使用PolicySet元素,直到您知道需要一个规则,在这种情况下您将切换到策略。请记住,PolicySet元素可以包含PolicySet和Policy元素。这允许任何深度的策略结构。如果我们重新审视我们的例子,我们会:

    XACML Policy Structure

相关问题
最新问题