WSO2 身份服务器 – 如何为扩展 PIP 编写 XACML 策略

Question

使用“RedAttributeFinder”类的 PIP 扩展代码现在正在运行。它正确地将其声明注册到 WSO2 PDP 扩展控制台显示中。

我现在开始创建 XACML 策略，处理返回扩展程序提供的动态数据值的字段（例如名为“http://w3.red.com/subject/employeeCountryCode”的字段）。

数据查找的关键字段是：urn:oasis:names:tc:xacml:1.0:resource:resource-id ，它以电子邮件格式映射用户身份。

问题 1： 如何在 WSO2 开始时注册的“RedAttributeFinder”类中调用“getAttributesValues”方法。什么触发了从 PDP 进程（或其传入请求）调用方法？

在示例代码以及我的实现中，关键字段是作为 PEP 请求实现的一部分加载的资源 ID。

..
myRequest += "<Attributes Category=\"urn:oasis:names:tc:xacml:1.0:subject-category:access-subject\">" + "\n"; 
myRequest += "<Attribute AttributeId=\"urn:oasis:names:tc:xacml:1.0:subject:subject-id\" IncludeInResult=\"false\">" + "\n"; 
myRequest += "<AttributeValue DataType=\"http://www.w3.org/2001/XMLSchema#string\">tony@br.red.com</AttributeValue>" + "\n"; 
myRequest += "</Attribute>" + "\n";  
myRequest += "</Attributes>" + "\n"; 
myRequest += "<Attributes Category=\"urn:oasis:names:tc:xacml:3.0:attribute-category:resource\">" + "\n"; 
myRequest += "<Attribute AttributeId=\"urn:oasis:names:tc:xacml:1.0:resource:resource-id\" IncludeInResult=\"true\">" + "\n"; 
.. 

这是“getAttributesValues()”的关键输入，将返回一个国家代码（类似于 WSO2 示例代码中的角色 [blue, silver, gold] 定义 [在此处提供https://svn.wso2.org/repos/wso2/carbon/platform/trunk/components/identity/org.wso2.carbon.identity.samples.entitlement.pip/]。

在示例中，我看到角色值所需的分辨率，例如“蓝色”是策略目标定义的一部分。

问题 2： 目标部分内的此放置是否需要调用动态 PIP 查找，每个请求一个，或者也可以放置在策略的其他部分，例如在规则内？

我能够使用规则定义测试 PEP 到 PDP 的交互，仅通过定义静态变量，接收“许可”，我想更改为从 PIP 实现及其扩展获得的动态数据的规则，解决代码添加的新字段。

Answer 1

在符合 XACML 标准的标准实现中，只要 PDP 在其策略中发现一个也由 PIP 发布的属性指示符，它就会调用 PIP（这意味着 PIP 必须宣传它可以提供哪些属性，例如它提供角色、公民身份...）。

PDP 可以选择不调用 PIP 而是使用属性缓存。属性在策略中的位置无关紧要。属性是在目标还是条件中使用都无关紧要 - 至少根据规范 - 这就是 Axiomatics、SunXACML 和 ATT 引擎的工作原理。

干杯， 大卫。

Answer 2

通过将这一行添加到 log4j.properties 文件中，我在 WSO2 设置中找到了一个有用的调试选项：

log4j.logger.org.wso2.carbon.identity.entitlement=DEBUG

此命令开始跟踪发送到 PIP 的请求，包括对 PIP 扩展类的调用（通过属性指示符）和返回的数据字段。

这证实了 PIP 以及 Try-It 函数是由 PDP 动态调用的。通过确认 PIP 扩展程序的正常运行，以下政策提供了预期的“允许”和“拒绝”结果。

下面是一个非常简单的策略，该策略使用 PIP 扩展代码进行测试，该代码为名为employeeCountryCode 的数据变量获取值。

政策

<Policy xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17"  PolicyId="RedLDAPPolicy1" RuleCombiningAlgId="urn:oasis:names:tc:xacml:3.0:rule-combining-algorithm:permit-overrides" Version="1.0">
<Target>
</Target>
<Rule Effect="Permit" RuleId="Permit-Rule1">
<Target>
<AnyOf>
<AllOf>
<Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">631</AttributeValue>
<AttributeDesignator AttributeId="http://w3.red.com/subject/employeeCountryCode" Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true">
</AttributeDesignator>
</Match>
</AllOf>
</AnyOf>
<AnyOf>
<AllOf>
<Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">ldap</AttributeValue>
<AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true">
</AttributeDesignator>
</Match>
</AllOf>
</AnyOf>
<AnyOf>
<AllOf>
<Match MatchId="urn:oasis:names:tc:xacml:1.0:function:string-equal">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">read</AttributeValue>
<AttributeDesignator AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action" DataType="http://www.w3.org/2001/XMLSchema#string" MustBePresent="true">
</AttributeDesignator>
</Match>
</AllOf>
</AnyOf>
</Target>
</Rule>
<Rule Effect="Deny" RuleId="Deny-Rule">
</Rule>
</Policy>

请求

<Request xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" CombinedDecision="false" ReturnPolicyIdList="false">
<Attributes Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action">
<Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id" IncludeInResult="false">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">read</AttributeValue>
</Attribute>
</Attributes>
<Attributes Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject">
<Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id" IncludeInResult="false">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">tony@br.red.com</AttributeValue>
</Attribute>
</Attributes>
<Attributes Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource">
<Attribute AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id" IncludeInResult="true">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">ldap</AttributeValue>
</Attribute>
</Attributes>
</Request>