Чем XACML 3.0 отличается от XACML 2.0?
Я подумываю о переходе моего клиентского приложения с использования службы авторизации XACML 2.0 на использование более новой службы XACML 3.0.
С какими изменениями или проблемами я столкнусь при переносе моего клиентского приложения с запросов XACML 2.0 на запросы XACML 3.0?
3 ответа
Самое большое различие между XACML 2.0 и XACML 3.0 для вашего клиентского приложения заключается в том, что структура атрибутов в запросе authz значительно изменилась в XACML 3.0.
В XACML 2.0 атрибуты были организованы в категории субъекта, ресурса, среды или действия с использованием тегов элемента XML:
<?xml version="1.0" encoding="UTF-8"?>
<Request xmlns="urn:oasis:names:tc:xacml:2.0:context:schema:os"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:oasis:names:tc:xacml:2.0:context:schema:os access_control-xacml-2.0-context-schema-os.xsd">
<Subject>
<Attribute
AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id"
DataType="http://www.w3.org/2001/XMLSchema#string">
<AttributeValue>Julius Hibbert</AttributeValue>
</Attribute>
</Subject>
<Resource>
<Attribute
AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id"
DataType="http://www.w3.org/2001/XMLSchema#anyURI">
<AttributeValue>http://medico.com/record/patient/BartSimpson</AttributeValue>
</Attribute>
</Resource>
<Action>
<Attribute
AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id"
DataType="http://www.w3.org/2001/XMLSchema#string">
<AttributeValue>read</AttributeValue>
</Attribute>
</Action>
<Environment/>
</Request>
В XACML 3.0 эти категории указываются с использованием атрибутов XML вместо тегов элементов XML:
<?xml version="1.0" encoding="utf-8"?>
<Request xsi:schemaLocation="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17 http://docs.oasis-open.org/xacml/3.0/xacml-core-v3-schema-wd-17.xsd" ReturnPolicyIdList="false" CombinedDecision="false" xmlns="urn:oasis:names:tc:xacml:3.0:core:schema:wd-17" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Attributes Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject">
<Attribute IncludeInResult="false" AttributeId="urn:oasis:names:tc:xacml:1.0:subject:subject-id">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">Julius Hibbert</AttributeValue>
</Attribute>
</Attributes>
<Attributes Category="urn:oasis:names:tc:xacml:3.0:attribute-category:resource">
<Attribute IncludeInResult="false" AttributeId="urn:oasis:names:tc:xacml:1.0:resource:resource-id">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#anyURI">http://medico.com/record/patient/BartSimpson</AttributeValue>
</Attribute>
</Attributes>
<Attributes Category="urn:oasis:names:tc:xacml:3.0:attribute-category:action">
<Attribute IncludeInResult="false" AttributeId="urn:oasis:names:tc:xacml:1.0:action:action-id">
<AttributeValue DataType="http://www.w3.org/2001/XMLSchema#string">read</AttributeValue>
</Attribute>
</Attributes>
<Attributes Category="urn:oasis:names:tc:xacml:3.0:attribute-category:environment" />
</Request>
<Subject> элемент в XACML 2.0 становится <Attributes Category="urn:oasis:names:tc:xacml:1.0:subject-category:access-subject"> в XACML 3.0, например. То же самое относится к категориям ресурсов, среды и действий.
Это структурное изменение упрощает модель обработки для обработки запросов и упрощает расширение модели с помощью пользовательских категорий, специфичных для приложения или домена, без необходимости проверки схемы.
В XACML 3.0 определены новые типы данных и функции для использования в определениях политики. Тип данных AnyURI теперь отличается от строкового типа данных. Несколько из алгоритмов объединения 2.0 устарели в пользу новых эквивалентов 3.0, которые более точно определяют, как неопределенные состояния распространяются вверх по дереву решений политики. Старые алгоритмы объединения по-прежнему включены как "устаревшие" артефакты.
Запросы и политики XACML 2.0 могут быть механически преобразованы в формат XACML 3.0 без потери информации. Преобразование ответа 3.0 обратно в формат 2.0 выполнимо, если вы придерживаетесь простых разрешений / запретов ответов.
Пожалуйста, проверьте вики OASIS XACML TC на официальный список отличий:
"Различия между XACML 2.0 и XACML 3.0"
В двух словах...
Основное различие между XACML 2.0 и XACML 3.0 заключается в новых функциях, таких как
- выражения обязательств: у вас могут быть динамические части в ваших заявлениях об обязательствах
- введение рекомендаций, которые эффективно обобщают обязательства в более широком контексте
- Представление профиля администрирования и делегирования XACML v3.0 версии 1.0. На сегодняшний день Axiomatics и ViewDS (http://www.viewDs.com) - единственные полные реализации XACML 3.0, которые включают делегирование. Это ключевая функция для облачных и федеративных развертываний. Модель делегирования является результатом более чем пятилетних исследований в Шведском институте компьютерных наук (SICS).
Эта информация кратко изложена на вики-странице XACML TC в OASIS. ТС поддерживается такой ведущей организацией, как Oracle, IBM и Axiomatics. Редактором спецификации XACML 3.0 является технический директор Axiomatics Эрик Риссанен.
Кроме того, Kuppinger Cole провел вебинар на тему: "Контроль доступа на основе политик с XACML 3.0".
Наконец, я кратко изложил новые функции в разделе "Улучшения и новые функции в #XACML 3.0".
Может быть еще одна полезная веб-страница, чтобы понять о возможностях XACML3: