目前,XACML 规范为请求/响应定义了一个协议,但对于如何将其集成到企业应用程序中则留待解释。我相信除非创建一个新的开源项目,尝试围绕一组通用 API 进行开发/标准化,否则 XACML 的价值将无法实现。
对于那些熟悉 XACML 的人,我很想了解他们对创建这样一个项目的第一反应,他们是否愿意做出贡献以及他们认为 XACML API 会是什么样子?
【问题讨论】:
标签: java identity saml cardspace xacml
也许我不明白这个问题,但 XACML 的 SAML 配置文件不符合您的要求吗?它为 authzDecisionQuery 和响应记录定义了 SOAP 格式,这应该是 WSDL 所需的全部内容。
我围绕 Sun 的 DOD/DISA 解释器(它在 forge.mil 上)构建了其中一个,并围绕将 XACML 直接转换为 Java 代码的完全编译实现构建了一个更快的版本(尚未发布)。主要目标是可读性,而不是速度,但它的速度大约是原来的十倍。
IMO XACML 可以工作,但作为一种供人们查看的语言绝对是糟糕的。我更感兴趣的是找到一种特定于问题的语言来表达 XACML 的语义,以便人们能够理解它们。 Java 在这一点上击败了 XACML,但 Java 作为一种特定领域的语言相当笨拙。也许是 Groovy?
PS:作为我们的第一次尝试,我们尝试了 Attempto Controlled English (ACE)。当我们发现 ACE 无法表达深度嵌套的条件(没有括号或大括号)时,我们很快放弃了这个想法。尽管 NSA 对基于英语的政策语言有浓厚的兴趣,但我不确定英语是否是正确的想法。
【讨论】:
Sun 的 XACML 实现不是为您提供了可靠的 API 吗?
http://sunxacml.sourceforge.net/
(开发已重回正轨,网站应尽快更新。请查看 sunxacml-devl 邮件列表。
【讨论】:
sunxacml 没有得到积极维护。 页面/实现的最后一次更新是从 2006 年开始。
HERAS-AF XACML Core 是一个积极维护的开源 XACML 实现。
【讨论】:
XACML 和 WS-XACML 规范的 SAML 配置文件试图标准化 XACML PEP 和 PDP 之间的通信。 WSO2 Identity Server 是一个开源项目,将在明年初添加此支持..
谢谢...
【讨论】:
不幸的是,WS-XACML 早已死去。 XACML 的 SAML 配置文件是当今唯一的标准化方法,但更多的是关于通信而不是 API 的易用性。
在 Axiomatics,我们确实开发了一个简单的 SDK,但它仍然是我们相当特定于供应商的。
我知道甲骨文和 Nextlabs 推动了一项名为 OpenAZ 的强大计划。他们的目标是为 PEP 定义更简单的 API。这可能是您想要查看的内容。
链接:
James,我会认真研究 OpenAZ。每周四有一次电话会议,欢迎您参加。
【讨论】: