Оценка многозначного атрибута в политике XACML 2.0 - PullRequest
Новая
       119

Оценка многозначного атрибута в политике XACML 2.0

0 голосов
/ 20 марта 2019

Как я могу оценить многозначные атрибуты в XACML 2.0?У меня есть следующая политика и запрос XACML 2.0.Пользователь получает разрешение, если он в роли супер-администратора.Имея несколько ролей в качестве элементов <AttributeValue> в одном атрибуте субъекта, для оценки извлекается только первый элемент <AttributeValue>.Как я могу получить и проверить все эти значения в моей политике?

Политика 

<Policy xmlns="urn:oasis:names:tc:xacml:2.0:policy:schema:os"  PolicyId="a-user-role-policy" RuleCombiningAlgId="urn:oasis:names:tc:xacml:1.0:rule-combining-algorithm:first-applicable">
   <Description>Sample XACML Authorization Policy</Description>
   <Target></Target>
   <Rule Effect="Permit" RuleId="primary-group-rule">
      <Target>
         <Actions>
            <Action>
               <ActionMatch MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
                  <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">read</AttributeValue>
                  <ActionAttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" DataType="http://www.w3.org/2001/XMLSchema#string"></ActionAttributeDesignator>
               </ActionMatch>
            </Action>
         </Actions>
      </Target>
      <Condition>
         <Apply FunctionId="urn:oasis:names:tc:xacml:1.0:function:any-of">
            <Function FunctionId="urn:oasis:names:tc:xacml:1.0:function:string-equal"></Function>
            <AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">super-admin</AttributeValue>
            <SubjectAttributeDesignator AttributeId="group" DataType="http://www.w3.org/2001/XMLSchema#string"></SubjectAttributeDesignator>
         </Apply>
      </Condition>
   </Rule>
   <Rule Effect="Deny" RuleId="deny-rule"></Rule>
</Policy>

Запрос 

<Request xmlns="urn:oasis:names:tc:xacml:2.0:context:schema:os"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <Subject>
        <Attribute AttributeId="group"
            DataType="http://www.w3.org/2001/XMLSchema#string">
            <AttributeValue>admin</AttributeValue>
            <AttributeValue>super-admin</AttributeValue>
        </Attribute>
    </Subject>
    <Resource>
        <Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id"
            DataType="http://www.w3.org/2001/XMLSchema#string">
            <AttributeValue>http://localhost:8280/services/echo/</AttributeValue>
        </Attribute>
    </Resource>
    <Action>
        <Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id"
            DataType="http://www.w3.org/2001/XMLSchema#string">
            <AttributeValue>read</AttributeValue>
        </Attribute>
    </Action>
    <Environment />
</Request>

1 Ответ

0 голосов
/ 20 марта 2019

По своему дизайну в XACML атрибуты всегда считаются многозначными. Это то, что мы называем сумками. Значения атрибута не имеют порядка. Это означает, что:

  • Пример 1: роль = ["менеджер"]
  • Пример 2: role = ["manager", "janitor"]
  • Пример 3: роль = ["уборщик", "менеджер"]
  • Пример 4: роль = ["уборщик", "менеджер", "менеджер"]

- все допустимые значения для роли атрибута. Обратите внимание, что даже однозначный атрибут все еще является сумкой значений. Примеры 2 и 3 одинаковы, данный порядок не имеет значения в сумках. Наконец, значения могут быть повторены в сумке. Я не могу придумать вескую причину, почему, но технически они могут (как в примере 4).

Если по какой-то причине используемый вами PDP учитывает только первое значение, то в его реализации есть серьезная ошибка.

...