XACML 策略中的分层属性答案

【问题标题】：Hierarchical attributes in XACML PolicyXACML 策略中的分层属性
【发布时间】：2018-07-24 09:40:26
【问题描述】：

我们正在使用 WSO2 身份服务器 5.1.0。

我们有一个像 Plant1->Area1->unit1 这样的位置层次结构。现在，如果用户拥有 Plant1 的属性，他也应该可以访问 unit1（树中父级的所有子级）。

我们可以在 XACML 中指定吗？我们将层次结构存储在 DB 中。如果需要，我们也可以将分层元素列表作为属性列表提供。

示例中解释的问题：用户 bob 已被授予对 area2 的访问权限，如下所示：

植物1

|--区域1

     |--Unit1

|--区域2

     |--Unit2

我们想在 XACML 策略中指定 Area2 位置。现在，如果带有 area2 或 unit2 的请求来了，则应该被允许，而如果带有 plant1、area1 或 unit1 的请求来了，则应该被拒绝。

我需要 XACML 策略的结构。

【问题讨论】：

是的，你可以在那里。有一个可选的配置文件 Axiomatics 实现了它。

标签： authorization wso2is access-control xacml abac

【解决方案1】：

您可以在 XACML 实现（如 AuthzForce）中使用自定义 PIP（策略信息点，又名属性提供者）来实现这一点。我不太了解 WSO2，但根据文档，它也可以使用 custom PIPs 进行扩展，所以我认为这应该可以解决问题。

这个想法是，在 XACML 策略中，您使用带有自定义 AttributeId 的 AttributeDesignator 来指示请求某些属性层次结构中的顶级父值，例如AttributeId = resource-id-parent 为 resource-id 属性值的父值。

您的自定义 PIP 的作用：当请求此自定义属性 id resource-id-parent 时，PIP 从请求中获取属性 resource-id 的值，即“area2”或“unit2”，然后从您的数据库中获取层次结构中的相应顶部值（或上面的所有值，如果您愿意）并将其作为包返回。然后，在 XACML 策略中，您可以在 Match 中使用 string-equal 或在 Condition 中使用 string-at-least-one-member-of 以将 AttributeDesignator 与“area2”匹配（请记住 AttributeDesignator 始终评估为袋子）。

【讨论】：