Authzforce - 用于策略管理 (PAP) 的现有 GUI

Posted 2023-04-13

【中文标题】Authzforce - 用于策略管理 (PAP) 的现有 GUI

【英文标题】：Authzforce - Existing GUI for policy administration (PAP)

【发布时间】：2020-03-27 21:33:38

【问题描述】：

我刚刚开始在docs 之后尝试Authzforce Fiware。我使用提供的 RESTful 接口按照给出的示例制作了一些 RBAC 场景。

我想知道的是，是否存在用于管理 策略管理 部分（创建、编辑、删除策略等）的用户界面。

根据this

Authzforce 本身不提供 UI，也不关心 XACML 策略的生成和管理 - 它假定它接收到的每个策略都已经由另一个组件生成。成熟的 XACML 编辑器可用，但 Keyrock 中的有限编辑器通常足以满足大多数访问控制场景。

Authzforce 中不存在任何内置 UI 解决方案，建议作为解决方案 Keyrock 与建议的here 一样。

我说对了吗？任何人都可以向我提供有关如何将Keyrock 与现有Authzforce PAP 集成的任何指导方针，以便我可以从它的编辑器中管理我的策略吗？

提前致谢。

【问题讨论】：

您可以为 ALFA 使用 Eclipse 插件 - 它会生成 XACML 文件，您可以轻松将其推送到 AuthzFotce

嗨@DavidBrossard 首先感谢您抽出宝贵时间，您提出的解决方案似乎真的很有趣，但如果我的理解是正确的，仅针对作为中间工具的策略创建部分，除此之外，我正在寻找对于一种让不了解编程的人能够通过 UI 以最重要的方式（创建、编辑、删除策略）管理策略管理点的方法，除此之外还有什么你知道的吗？

【参考方案1】：

要将 Keyrock 与 AuthzForce 集成，请查看 FIWARE-IDM (Keyrock) installation & administration guide > Configuration > Authorization 部分。您必须更改 Keyrock 的配置文件，尤其是：

config.authorization = 
    level: "advanced", // basic|advanced
    authzforce: 
        enabled: true,
        host: "localhost",
        port: 8080
    
;

将主机/端口更改为您的 AuthzForce 服务器实例。

您可以对Keyrock environment variables 执行相同操作（在页面上查找“AuthzForce”）。

然后查看FIWARE tutorials > Identity Management > Administrating XACML Rules > Update an XACML permission 以了解如何编辑 XACML 策略。基本上，您为应用程序定义每个角色的权限。每个权限都变成一个 XACML 规则，权限集变成一个 XACML 策略。

【讨论】：

谢谢！我设置了一个keyrock docker 映像并将其成功地与我在另一个容器上运行的 authzforce 服务器集成。实际上，我现在想了解的是 authzforce 和 keyrock 以哪种方式交互。我在Manage Roles 部分使用 XACML 选项（高级）创建了几个权限，然后分配了这些权限的新角色，所以我知道该角色实际上是一个策略本身，因为它由一组权限组成，对吗？此外，我不应该能够在 keyrock 控制台中看到我已经在我的 authzforce 服务器中创建的现有策略吗？

Q1) 是的，该角色的权限集是turned into a XACML Policy（来自 Keyrock 存储库的模板源）。 Q2）Looking at their code，看来 Keyrock 在推送到 AuthzForce 后将权限保存在自己的格式/数据库中；而在 GUI 中，它只从这个数据库中获取它们，不是从 AuthzForce。因此，如果您直接在 AuthzForce 中更新策略（而不是通过 Keyrock），我猜您不会在 Keyrock 中看到更新。