Что такое профиль XACML?

Question

Я новичок в XACML (EXtensible Access Markup Language), и я немного смущен. Я не понимаю, что такое профиль. Например, профили RBAC или SAML.

В чем разница между ними? Разве структура и элементы не всегда одинаковы?

Спасибо вам помочь

Answer 1

Есть две вещи, которые профили XACML указать: какие AttributeId должны быть использованы для определенных частей информации, а также специфическая структура политика должна принять.

XACML является мощным, главным образом благодаря его гибкости, но эта гибкость приносит стоимость, когда вы хотите обмениваться политиками между организациями. Например, одна организация может использовать идентификатор «login-id» для указания имени учетной записи пользователя, тогда как другая может использовать «имя пользователя». Профили могут определять известные идентификаторы для этого атрибута.

Указание структуры может быть полезно, когда интерфейсы управления более высокого уровня построены поверх некоторой политики. Часто бывает необходимо извлечь информацию из политики и представить ее пользователю, а ограничение структуры в профиле может быть способом документирования ожидаемого.

Профили также могут использоваться как тип «вот способ использования этого случая использования в XACML», что избавляет клиентов и продавцов от повторного внедрения колеса.

Answer 2

Есть два типа профилей, которые следует учитывать в XACML:

1. профили, которые определяют лучшие практики о том, как использовать XACML выразить четко определенные сценарии, такие как экспортного контроля, защиты интеллектуальной собственности и роли на основе контроль доступа. Это профайлы Крейга. Эти профили не требуют какой-либо конкретной технической реализации от имени движка XACML, отличного от основного языка XACML 2.0/3.0. Они определяют набор общих атрибутов, их идентификацию, их возможные значения и их использование в возможных политиках. См., Например, профиль защиты IP здесь: http://docs.oasis-open.org/xacml/3.0/ipc/xacml-3.0-ipc-v1-spec-cs-01-en.pdf. Эти профили направлены на определение совместимых способов выражения общих требований.
2. Профили, расширяющие техническое применение/область применения XACML 2.0/3.0. Такие профили требуют технической реализации от имени используемого двигателя. Такие профили включают профиль SAML XACML, профиль множественного решения и профиль административной делегации. Например, профиль нескольких решений определяет, как точка принудительного применения политики может отправлять несколько запросов авторизации в рамках одного общего запроса XACML. Эти профили направлены на расширение технического диапазона XACML.

Надеюсь, это поможет, David.