XACML
XACML | |
---|---|
Extensie | .xml , .alpha |
Licență | https://www.oasis-open.org/resources/open-repositories/licenses |
XACML ( eXtensible Access Control Markup Language ) este un standard publicat de OASIS ( Organization for the Advancement of Structured Information Standards ) care definește un limbaj pentru definirea politicilor de control al accesului în format XML și ilustrează modul de evaluare a cererilor de autorizare. Versiunea stabilă în prezent este 3.0 [1] [2] din ianuarie 2013.
Limbajul se bazează pe un proces de evaluare a stilului de control al accesului bazat pe politici (PBAC). Politicile individuale aplică modelul de control al accesului bazat pe atribute (ABAC). Deoarece definiția standardului este XML , limbajul poate fi implementat pentru orice arhitectură.
Standardul XACML se bazează pe definirea politicilor de control al accesului la resurse. Cererea de acces este definită cu o solicitare XACML și rezultatul procesului de decizie de autorizare este dat de combinația de reguli definite în politicile aplicabile acestei cereri.
În noua versiune, spre deosebire de cea precedentă, rezultatul autorizației depinde mai mult de contextul de evaluare al cererii, în detaliu prin acțiuni și / sau informații suplimentare furnizate de obligații și sfaturi ; alte diferențe de sintaxă, în principal pentru a îmbunătăți eficiența scrierii, sunt prezentate mai jos, împreună cu modelul de aplicație al standardului.
Istorie
Versiunea 1.0 a fost lansată de OASIS în 2003.
Versiunea 2.0 a fost lansată de OASIS la 1 februarie 2005.
Prima specificație a comitetului XACML 3.0 a fost publicată la 10 august 2010. [3] Cea mai recentă versiune - XACML 3.0 - a fost standardizată în ianuarie 2013. [4]
Arhitectură
Limbajul XACML definește două categorii de entități, ambele definite de un identificator de resurse uniform :
- Subiect : acesta este elementul care necesită acces (de exemplu, utilizatori, computere, servicii web ...).
- Resurse : acestea sunt elementele la care subiectul dorește să acceseze (de exemplu, fișiere, documente, baze de date ...).
Pentru a-și îndeplini funcția, XACML are nevoie de diverse componente logice care îndeplinesc funcții separate:
- PEP : punctul de aplicare a politicii, care protejează o resursă și permite accesul la aceasta numai dacă verificarea compatibilității cu politica este pozitivă.
- PDP : Punct de decizie de politică, care primește toți parametrii diferiți (politică, subiect, resursă solicitată, tip de acces, context ...) și decide dacă se acordă sau nu accesul. Odată ce decizia a fost luată, aceasta va fi comunicată PEP.
- PIP : Punct de informare privind politica, oferă informații referitoare la accesul solicitat.
- PAP : Punct de acces al politicii, oferă politica aplicabilă accesului solicitat.
Elemente ale politicii
Fiecare politică este alcătuită din câteva elemente:
- Una sau mai multe reguli , care este singura regulă din politică. La rândul său, este alcătuit din:
- Efectul regulii (permis / refuz).
- Condiția de verificat (opțional).
- Ținta , utilizată pentru a verifica aplicabilitatea cererii și a indexa diferitele politici pentru PDP. Conține:
- Unul sau mai mulți subiecți pot conține lista atributelor legate de subiectul căruia i se adresează politica.
- O acțiune, ceea ce permite politica să facă (vizualizare, executare etc.).
- Resurse, adică referința la resursele care trebuie protejate (URI).
Operațiune
Operația tipică a schemei XACML este după cum urmează:
Un subiect (de exemplu, un utilizator) dorește să acceseze informațiile prezente pe o bază de date.
Pentru a face acest lucru, el trebuie să comunice PEP-ului identitatea sa, resursa pe care dorește să o acceseze și operațiunea pe care dorește să o facă (Citire, Scriere ...).
PEP, după ce a primit cererea, o îngheță temporar și consultă (printr-un „traducător de cerere”) PDP.
Traducătorul este necesar, deoarece fiecare solicitare trebuie „contextualizată” împreună cu informațiile provenite din PIP. Aceste informații sunt comunicate cu un limbaj special numit Security Assertion Markup Language .
La rândul său, PDP solicită politicii de securitate corespunzătoare de la PAP, care, având acces la Depozitul de politici, va putea furniza informațiile necesare.
PDP, având acum toate elementele disponibile (cererea, contextul și politica de securitate) va decide dacă va permite sau nu accesul și va comunica rezultatul PEP.
PEP, după ce a primit decizia PDP, va autoriza (sau bloca) accesul utilizatorului la resursă.
XACML 3.0
XACML și alte standarde
Notă
- ^ Mesaj de aprobare OASIS standard XACML v3.0
- ^ XACML v3.0 OASIS Standard (2013)
- ^ (RO) OASIS eXtensible Access Control Markup Language (XACML) TC | OASIS , la www.oasis-open.org . Adus la 18 mai 2017 .
- ^ eXtensible Access Control Markup Language (XACML) V3.0 aprobat ca OA , pe lists.oasis-open.org . Adus la 18 mai 2017 .
linkuri externe
- Site oficial , pe oasis-open.org .