在XACML中,我不确定义务是否会为规则决策添加更多信息或提供更多条件。例如,我希望响应允许访问患者电子健康记录,但我想添加拒绝访问患者电子健康记录中特定记录的义务。
答案 0 :(得分:1)
在XACML中,义务(和建议)旨在丰富PEP从PDP收到的响应。它们并不意味着传达授权逻辑。
此示例围绕信任/身份验证提升。
前面提到的例子来自医疗保健中发生的突破性情景。
在您的示例中,您希望控制对项目和子项目的访问。例如,EHR由PII,PHI和财务信息组成。医生可以查看患者与他们有关系的EHR吗?是的,他们应该能够。但是您要掩盖或编辑财务信息,因为它与医生无关。
在这种情况下,我会写出不同的规则 - 每个子项目一个。我希望授权逻辑可见。我想知道有关医生查看PII,PHI或财务的规则。
我可能会使用Multiple Decision Profile向记录的不同部分提问。
当然,如果你想做的只是系统地掩盖了一个领域,那么你就可以逃脱义务。
当您写下义务和建议时,您应该尽量不在其中隐藏授权逻辑。使用它们来丰富授权流程。