XACML 3.0 和多种资源

【问题标题】:XACML 3.0 and Multiple ResourcesXACML 3.0 和多种资源
【发布时间】:2018-06-07 04:06:43
【问题描述】:

我正在尝试弄清楚如何使用 Balana 的 XACML 实现(WSO2 的权利引擎基于 Balana)来实现授权机制。

当用户请求访问单个资源时(例如,鲍勃想要阅读医疗记录),事情就很简单了。

但是,假设 bob 想要阅读所有患者的医疗记录。这里的第一个问题是需要有一种方法来确定谁是他的病人。我还需要为他的患者的每条记录获取属性。问题是,我正在尝试解决这种情况,同时将我的 PIP 的属性请求数量保持在最低限度。

重新表述我的目标:我正在尝试根据 PIP 返回的属性(并且我想要例如,我的 PIP 与数据库的交互尽可能少)。

简而言之,我发现当尝试使用 XACML 控制对资源集合的访问时,事情变得很棘手。

我在这里找到了几个选项:

  1. 我的请求包含主题、操作、资源 ID 和范围。我使用 XACML 多决策配置文件:PDP 知道子/后代资源是目标,因此它将为每个子/后代创建多个评估上下文(但尚未找到资源的属性)。然后,使用 PIP,它将检索每个单独评估上下文的属性(例如,获取 bob 的医生 ID,然后获取每个单独资源的医生 ID)。例如,如果我的 PIP 正在查询数据库,它将针对每个单独的请求对每个单独的属性执行大量查询,因此对性能有很大影响。

  2. 我的请求包含主题、操作、资源 ID。我不再使用多重决策配置文件。但是,在创建评估上下文并要求 PDP 评估我的请求之前,我知道我的资源实际上是一个集合,因此我以某种方式获取所有子/后代及其所有属性,并且只有在获得所有这些信息之后,我才手动创建个人决策对每个孩子/后代的请求,以及其中的所有相应属性。因此,我向 PDP 提出了一个重要的决策请求,其中包含几乎所有必要的属性。因为决策请求几乎具有评估上下文中的所有属性,所以不需要询问我的 PIP。这样做的好处是,我在 PDP 评估决策之前获得了所有信息,因此 PIP 必须做的工作保持在最低限度。但是,我不确定是否应该在到达 PDP 之前找到孩子/后代及其所有属性(正如 XACML 规范所说,在上下文处理程序中的某个位置)。

  3. 我的请求包含主题、操作、资源 ID。我使用多决策配置文件。我有一个可以找到儿童/后代资源和一些 PIP 的组件。所有这些组件都使用一个存储库,假设称为 MedicalRecordsRepository。当请求子/后代 ID 时,此 repo 还会从数据库中获取所有属性并将所有这些信息存储在缓存中。因此,之后,当有多个单独评估的评估上下文时,如果请求 PIP 返回一个属性,它将从 repo 的缓存中获取该属性。因此,数据库交互保持在最低限度。但是,问题在于存储库组件及其缓存。

我已经阅读了规范,我四处寻找,但我还没有找到任何解决这个问题的方法。有没有人有任何想法? 提前致谢!

【问题讨论】:

    标签: authorization access-control xacml abac balana


    【解决方案1】:

    简而言之,我发现当尝试使用 XACML 控制对资源集合的访问时,事情变得很棘手。

    你是对的。 XACML 很好地解决了事务和功能访问控制。它不能很好地处理数据访问控制。

    • 事务访问控制:Alice 可以查看医疗记录 #1 吗?
    • 功能访问控制:Alice 可以查看病历吗?
    • 数据访问控制:Alice 可以查看哪些医疗记录?

    我不确定我是否完全掌握了您的三种方法,但您确实强调了相关问题

    • 不知道有多少项
    • 从外部属性源检索属性(假设每个医疗记录 10 个属性乘以 1,000,000 条记录 - 即 10M 次查找)

    根据我的经验,当您处理数千个请求时,多个决策配置文件请求会很有效。除此之外,我会考虑 Axiomatics Reverse Query(免责声明 - 我为 Axiomatics 工作)。反向查询通过公开一个 API 来解决您的问题,该 API 可让您提出开放式问题,例如

    • Alice 可以查看哪些病历?

    响应将是必须满足的一组条件。例如,如果以下是您的策略(使用 ALFA 表示法):

    使用 ALFA 表示法的 XACML 策略

    policy accessMedicalRecord{
    target clause com.axiomatics.examples.actionId == "view" and objectType == "medical record"
    apply firstApplicable
    /**
     * Doctors can view medical records of patients they are assigned to
     */
    rule allowRegularAccess{
        target clause user.role == "doctor"
        condition patient.assignedDoctor == user.identifier
        permit
    }               
}

    ARQ 请求/响应示例

    • 请求:医生 Alice 可以查看哪些医疗记录?
    • 响应:如果patient.assignedDoctor == "Alice" 则允许

    答案可以翻译成查询语言,例如SQL:

    • SELECT id FROM MED_RECORDS WHERE assignedDoc = 'Alice';

    它也可以是另一种查询语言。然后,您可以使用它来查询数据源,例如一个 SQL 数据库并检索相关的医疗记录。

    另请参阅Stackoverflow Q&A

    【讨论】:

    • 感谢您的回答,大卫。所以,只是为了看看我是否做对了,ARQ 对策略进行查询并找出必须满足的条件,对吗?在上面的例子中,意思是它从策略中发现有一个关于病历的“assignedDoctor”属性的条件,然后根据这个条件构建查询来选择记录的ID。我理解正确吗?
    • 感谢您的帮助,大卫!
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2023-03-17
    • 1970-01-01
    • 2016-01-27
    • 2017-03-13
    • 2020-04-11
    • 2011-11-15
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode