Authzforce - Простое создание политики ABA C завершается неудачно - PullRequest
Новая
       96

Authzforce - Простое создание политики ABA C завершается неудачно

1 голос
/ 03 апреля 2020

Я использую Authzforce 8.1.0, и я уже создал пару RBAC сценариев политики ios на основе примеров, приведенных в Руководства для пользователей и программистов , но я хотел бы создать простой Сценарий ABAC.

Как новичок ie в языке XACML, я пытаюсь следовать некоторым примерам из здесь . Более конкретно, я пытаюсь реализовать политику, подобную 4.1.1. Пример политики .

Политика, которую я хочу создать

Предположим что корпорация с именем Medi Corp (идентифицируемая по ее доменному имени: med.example.com) имеет политику контроля доступа, в которой на английском языке указывается sh:

Любой пользователь с именем электронной почты в " med.example.com "Пространству имен разрешено выполнять любые действия с любым ресурсом. 

<?xml version="1.0" encoding="UTF-8"?>
   <Policy xmlns="urn:oasis:names:tc:xacml:3.0:schema:os"
           xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="urn:oasis:names:tc:xacml:3.0:schema:os
           http://docs.oasis-open.org/xacml/FIXME.xsd"
           PolicyId="urn:oasis:names:tc:xacml:3.0:example:SimplePolicy1"
           Version="1.0"
           RuleCombiningAlgId="identifier:rule-combining-algorithm:deny-overrides">
     <Description>
       Medi Corp access control policy
     </Description>
     <Target/>
      <Rule
       RuleId= "urn:oasis:names:tc:xacml:3.0:example:SimpleRule1"
       Effect="Permit">
       <Description>
         Any subject with an e-mail name in the med.example.com domain
         can perform any action on any resource.
       </Description>
       <Target>
         <AnyOf>
           <AllOf>
             <Match
               MatchId="urn:oasis:names:tc:xacml:1.0:function:rfc822Name-match">
                <AttributeValue  DataType="http://www.w3.org/2001/XMLSchema#string">med.example.com</AttributeValue>
                <AttributeDesignator
                    Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"
                    AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"
                    DataType="urn:oasis:names:tc:xacml:1.0:data-type:rfc822Name"/>
                </Match>
           </AllOf>
         </AnyOf>
       </Target>
      </Rule>
    </Policy>

Когда я пытаюсь POST этой политики на {ip}:{port}/authzforce-ce/domains/{domainId}/pap/policies Я получаю следующую ошибку

Ошибка 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<error xmlns:ns2="http://authzforce.github.io/core/xmlns/pdp/6.0">
<message>Invalid parameters: cvc-elt.1: Cannot find the declaration of element 'Policy'.</message>
</error>

Все примеры, которые я видел в authzforce, начинаются с объявления <PolicySet> (в котором мы можем объявить несколько блоков <Policy> , поэтому я подумал, что это может быть проблемой, и попытался включить политику в policySet, как показано ниже: 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<PolicySet
 xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17"
 PolicySetId="first_policyset_id"
 Version="1.0"
 PolicyCombiningAlgId="urn:oasis:names:tc:xacml:3.0:policy-combining-algorithm:permit-unless-deny">
 <Description>Policy for Github</Description>
 <Target />
 <Policy
   PolicyId="urn:oasis:names:tc:xacml:3.0:example:SimplePolicy1"
           Version="1.0"
           RuleCombiningAlgId="identifier:rule-combining-algorithm:deny-overrides">
  <Description>
       Medi Corp access control policy
     </Description>
     <Target/>
      <Rule
       RuleId= "urn:oasis:names:tc:xacml:3.0:example:SimpleRule1"
       Effect="Permit">
       <Description>
         Any subject with an e-mail name in the med.example.com domain
         can perform any action on any resource.
       </Description>
       <Target>
         <AnyOf>
           <AllOf>
             <Match
               MatchId="urn:oasis:names:tc:xacml:1.0:function:rfc822Name-match">
                <AttributeValue  DataType="http://www.w3.org/2001/XMLSchema#string">med.example.com</AttributeValue>
                <AttributeDesignator
                    Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"
                    AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"
                    MustBePresent="false"
                    DataType="urn:oasis:names:tc:xacml:1.0:data-type:rfc822Name"/>
                </Match>
           </AllOf>
         </AnyOf>
       </Target>
      </Rule>
    </Policy>
</PolicySet>

, но теперь я получаю следующее:

Response 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<error xmlns:ns2="http://authzforce.github.io/core/xmlns/pdp/6.0">
    <message>Failed to find a root PolicySet with id = 'first_policyset_id', Version=1.0,EarliestVersion=*,LatestVersion=*: Matched PolicySet 'first_policyset_id' (version 1.0) is invalid or its content is unavailable</message>
</error>

Какой правильный формат запроса XACML, чтобы сделать такой mple ABA C сценарий политики? Пример запроса на доступ к политике по этому вопросу также будет высоко оценен , заранее спасибо!

1 Ответ

2 голосов
/ 04 апреля 2020

К сожалению, в этом примере из раздела 4.1.1 известны проблемы, о некоторых из которых я сообщил в списке рассылки xacml-comment . Это должно быть исправлено в следующей версии XACML spe c. А пока вам нужно исправить это:

  1. Удалите xsi:schemaLocation в целом. Поскольку местоположение http://docs.oasis-open.org/xacml/FIXME.xsd неверно и AuthzForce уже использует свое собственное местоположение для схемы XACML.
  2. RuleCombiningAlgId identifier:rule-combining-algorithm:deny-overrides неверно. Замените на urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-overrides.

Я также подтверждаю, что REST API сервера AuthzForce принимает только PolicySets в качестве входных данных для конечной точки /pap/policies, поэтому вы должны обернуть вашу Policy в PolicySet, как и вы. Но вы должны изменить PolicyCombiningAlgId на urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:only-one-applicable, если вы хотите, чтобы результат PolicySet был эквивалентен Политике.

- EDIT 2020-04-06 -

Итак, исправлено PolicySet это: 

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<PolicySet 
 xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17"
 PolicySetId="PolicySet_1"
 Version="1.0"
 PolicyCombiningAlgId="urn:oasis:names:tc:xacml:1.0:policy-combining-algorithm:only-one-applicable">
 <Description>Sample PolicySet</Description>
 <Target />
 <Policy 
  PolicyId="urn:oasis:names:tc:xacml:3.0:example:SimplePolicy1"
  Version="1.0"
  RuleCombiningAlgId="urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:deny-overrides">
  <Description>Medi Corp access control policy</Description>
  <Target/>
  <Rule
   RuleId= "urn:oasis:names:tc:xacml:3.0:example:SimpleRule1"
   Effect="Permit">
   <Description>Any subject with an e-mail name in the med.example.com domain can perform any action on any resource.</Description>
   <Target>
     <AnyOf>
       <AllOf>
         <Match
          MatchId="urn:oasis:names:tc:xacml:1.0:function:rfc822Name-match">
          <AttributeValue  DataType="http://www.w3.org/2001/XMLSchema#string">med.example.com</AttributeValue>
          <AttributeDesignator
           Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"
           AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"
           DataType="urn:oasis:names:tc:xacml:1.0:data-type:rfc822Name"
           MustBePresent="true"/>
         </Match>
       </AllOf>
     </AnyOf>
   </Target>
  </Rule>
 </Policy>
</PolicySet>
...