Разработка XACML API
В настоящее время спецификация XACML определяет протокол для запроса / ответа, но оставляет его до интерпретации того, как его можно интегрировать в корпоративное приложение. Я считаю, что ценность XACML не будет реализована, если не будет создан новый проект с открытым исходным кодом, который пытается разработать / стандартизировать вокруг набора общих API.
Для тех, кто знаком с XACML, я хотел бы понять их первые реакции на создание такого проекта, захотят ли они внести свой вклад и как, по их мнению, будет выглядеть API XACML?
5 ответов
Может быть, я не понимаю вопроса, но разве профиль SAML для XACML не делает то, что вы хотите? Он определяет форматы SOAP для authzDecisionQuery и записей ответов, которые должны быть всем, что вам нужно для WSDL.
Я построил один из них для интерпретатора Sun для DOD/DISA (он находится на forge.mil) и гораздо более быстрой версии (еще не выпущенной) для полностью скомпилированной реализации, которая напрямую преобразует XACML в код Java. Основной целью была читаемость, а не скорость, но примерно в десять раз быстрее.
IMO XACML работает, но абсолютно ужасен как язык, на который люди могут смотреть. Меня больше интересует поиск проблемно-ориентированного языка для выражения семантики XACML, чтобы люди могли их понять. Java опережает XACML, но Java довольно неуклюжий как язык, специфичный для предметной области. Возможно Groovy?
PS: как наш первый выстрел в этом мы попробовали Контролируемый английский язык (ACE). Мы быстро отбросили эту идею, когда обнаружили, что в ACE нет ничего жизнеспособного для выражения глубоко вложенных условных выражений (без скобок и скобок). И я не уверен, что английский был подходящей идеей для этого, несмотря на сильный интерес АНБ к английским политическим языкам.
Разве реализация XACML от Sun не дает вам надежного API?
http://sunxacml.sourceforge.net/
(Разработка возобновляется, и сайт должен быть обновлен в ближайшее время. Посмотрите на список рассылки sunxacml-devl.
Sunxacml активно не поддерживается. Последнее обновление на странице / реализации от 2006 года.
Активно поддерживаемой реализацией XACML с открытым исходным кодом является ядро HERAS-AF XACML.
К сожалению, WS-XACML давно умер. Профиль SAML для XACML сегодня является единственным стандартизированным подходом, но он больше связан с коммуникацией, чем с простотой использования API.
В Axiomatics мы разработали простой SDK, но он остается нашим в значительной степени зависящим от производителя.
Я знаю, что есть сильная инициатива под названием OpenAZ, выдвинутая Oracle и Nextlabs. Они нацелены на определение более простых API для PEP. Это, вероятно, то, что вы хотели бы посмотреть.
Ссылки:
- Аксиоматика простой SDK демо: http://www.youtube.com/watch?v=Z_2M775uFxo
- OpenAZ: http://openliberty.org/wiki/index.php/OpenAz_Main_Page
Джеймс, я бы серьезно посмотрел на OpenAZ. Каждую неделю по четвергам проводится звонок, на который вы можете прийти.
Профиль SAML для спецификаций XACML и WS-XACML - это попытки стандартизировать связь между XACML PEP и PDP. WSO2 Identity Server - проект с открытым исходным кодом, и он добавит эту поддержку к началу следующего года.
Спасибо...