(примечание: я очистил ваш вопрос, потому что у вас было немало неточностей XACML).
Существует два способа разрешения конфликтов в XACML. Таких как:
- алгоритмы объединения стратегий. Они устанавливаются внутри элементов PolicySet и используются для объединения результатов с детьми PolicySet (сочетание элементов Policy и PolicySet).
- алгоритм объединения алгоритмов. Они устанавливаются внутри элементов политики, которые используются для комбинирования результатов с детьми Rule.
Ваш вопрос относится, в частности, к случаю, когда вы сконфигурировали точку принятия решения (PDP) (а не PAP, как вы писали), с несколькими политиками. Какой из них побеждает? Поскольку ни один из них не обернут, нет никаких комбинационных алгоритмов на выбор. Это поведение не определено в стандарте XACML и будет зависеть от используемого вами механизма XACML.
Axiomatics Механизм XACML, например, заставляет вас всегда выбирать корневую политику (набор), то есть политику (набор), которую двигатель будет рассматривать как свою точку входа. Любые другие политики, переданные PDP, будут использоваться, только если корневая политика ссылается на них.
Если вы хотите узнать больше об объединении алгоритмов, ознакомьтесь с этим blog post Я недавно написал.