XACML 规则主题

Posted 2023-04-13

【中文标题】XACML 规则主题

【英文标题】：XACML Rule Subject

【发布时间】：2013-02-28 15:48:15

【问题描述】：

我正在为规则编写一个带有ordered-permit-overrides 的策略。

规则 1 允许具有适当安全级别的任何人访问所有内容。

规则 2 允许拥有其他凭据的任何人访问某些内容（3 个资源）。

规则 3 拒绝访问其他所有内容。如果用户既没有安全级别也没有凭据，这是一种故障保护。

我的问题是我可以让我的服务器运行程序并且规则 1 可以正常工作。对于规则 2，如果我给出所需的值，我得到的唯一结果是“拒绝”，如果我留下任何空白，它是“不确定的”。我认为尽管使用了ordered-permit-overrides，但该政策并未运行我的规则2。

我尝试运行注释掉规则 3 的脚本，结果只是“不确定”或“不适用”。

在规则 1 中，我将目标留空。对于规则 2，我定义了资源，但没有定义主题。我是否需要指定主题才能使此规则生效？是否还有其他因素可能导致我的第一条和第三条规则起作用，但不是我的第二条。

【问题讨论】：

我解决了这个问题。我在策略和规则 1 中调用了相同的资源，所以我不能再次调用它。 XACML 中的资源必须是互斥的。资源是我的包，子资源是页面。

...我通过在规则 1 中声明一个具有高级权限的主题并将条件留空来解决它。该规则是一个许可规则。

【参考方案1】：

如果您能在此处分享您的政策以便我们查看，那就太好了。您使用什么来编写和测试策略。

您可能知道，不确定是由于 PDP 内部的错误，例如您要求一个属性存在，但您没有发送它，或者您在缺少的属性上使用了一个字符串（或任何*一个）函数。

对了，你为什么不使用first apply作为组合算法呢？

查看 Eclipse 的 ALFA 插件（它是免费的），以便能够快速编写您的策略，而无需了解 XACML 语法：http://www.axiomatics.com/axiomatics-alfa-plugin-for-eclipse.html