Как настроить контроль доступа в Orion NGSI API для изоляции клиентов с помощью Wilma PEP Proxy и IdM Keyrock?

Я хочу обеспечить контроль доступа на уровне API NGSI Orion Context Broker для обеспечения реальной изоляции данных. Я хочу убедиться, что арендатор может только запрашивать / обновлять свой контекст, а НЕ контекст другого арендатора.

Для этого я начал размещать экземпляр прокси-сервера Wilma PEP перед Orion Context Broker. Затем я сконфигурировал свой собственный экземпляр GE для Iroity Manager Keyrock на основе официального образа док-станции IdM Keyrock и моего собственного PDP GE для авторизации на основе официального образа док-станции AuthzForce.

После нескольких дней конфигураций и множества попыток, наконец, я смогу нормально работать с этими тремя универсальными активаторами безопасности, проверяя подлинность и авторизуя запросы для NGSI API Orion Context Broker с использованием PEP-прокси уровня 2.

Однако уровня 2 авторизации недостаточно для обеспечения того, что я хочу, потому что информация об услуге (арендаторе) и подслужбе (пути к приложению) находится в заголовках запроса. Особенно в заголовках Fiware-Service и Fiware-ServicePath. Для построения политик авторизации на основе заголовков необходимо использовать уровень 3: авторизация XACML.

Проблема в том, что я немного покопался в официальной документации Fiware и не смог найти ни одного примера политики XACML. Помимо официальной документации Wilma PEP Proxy (см. Здесь) говорится, что вам может потребоваться изменить исходный код PEP Proxy, чтобы получить этот уровень авторизации.

Поскольку предполагается, что в этом случае проверяются дополнительные параметры запроса, такие как тело или пользовательские заголовки, это зависит от конкретного варианта использования. Таким образом, программист должен изменить исходный код прокси-сервера PEP, чтобы включить определенные требования.

Это возможно?

Действительно ли мне нужно изменить исходный код прокси-сервера PEP, чтобы достичь чего-то такого простого, что арендатор может получить доступ только к своим данным?