Моделирование политики XACML: как моделировать политики для нескольких ресурсов?

Question

У меня есть набор ресурсов. Каждый ресурс имеет свою собственную политику безопасности, которая представляет собой комбинацию правил безопасности.

Для создания этих политик в XACML, что я могу использовать: элемент Policy или элемент PolicySet?

Например:

• rule1: читать resource1 пользователь должен иметь роль администратора
• правило 2: писать на ресурс 2 пользователь должен иметь адрес электронной почты Adresse из домена @yahoo. com
• rule3: читать ресурс 3 пользователь должен быть из больницы Saint George
• правило 4: для записи на ресурс 1 пользователь должен иметь роль медсестры.

В таком случае: должен ли я создать элемент политики для resource1, а другой для ресурса 2 и т. Д. - все это в элементе PolicySet? Или я должен создать элемент политики в соответствии с этим правилом 1 и 2 безопасности и так далее?

Answer 1

Вы можете выбрать модель по-разному. Не обязательно право или неправильно. Когда я обучаем наших клиентов, я обычно рекомендую вам разработать политику таким образом, чтобы:

1. Они легко понять
2. Они просты в управлении
3. Они легко могут расти, чтобы удовлетворить новые сценарии
4. Они позволяют сотрудничать.

Наиболее распространенный шаблон - определение иерархии ресурсов. Например, у вас будет финансовое приложение> объект учетной записи> раздел личной информации> поле имени.

Затем вы можете начать искать другие атрибуты, например. пользовательские атрибуты (роль, отдел ...)

Обычно вы используете элемент PolicySet, пока не узнаете, что вам понадобится правило, и в этом случае вы переключитесь на политику. Имейте в виду, что элементы PolicySet могут содержать элементы PolicySet и Policy. Это позволяет использовать структуру любой глубины. Если мы вернемся наш пример, мы имеем: