Un attributo di esempio potrebbe essere "il dipendente si trova attualmente negli Stati Uniti" e sta tentando di accedere a un documento che richiede che la persona acceda al documento nel territorio degli Stati Uniti.
Un attributo di esempio potrebbe essere "il dipendente si trova attualmente negli Stati Uniti" e sta tentando di accedere a un documento che richiede che la persona acceda al documento nel territorio degli Stati Uniti.
La semplice ricerca su google ti darebbe la risposta a questa domanda.
Fornitori come Axiomatics sono più che disposti a rispondere alla domanda.
Il governo degli Stati Uniti ha anche un parere
Potresti aver perso 1 Raindrop a meno che non si segua il campo, ma penso che risponda bene alla tua domanda:
It seems to me that the value of XACML and ABAC is really in the use cases that they enable. It's outward focused, and unlocks value through new kinds of services. . . .
Il riassunto è che ABAC ti consente di esprimere una politica di controllo degli accessi ricca e complessa in modo più semplice. La maggior parte delle politiche di controllo degli accessi (sto osservando il tuo RBAC) si basano su "qualcuno" da qualche parte aggiornando una politica mentre i dipendenti passano da un lavoro all'altro o responsabilità verso la responsabilità. Le persone vengono aggiunte per esigenze temporanee e mai rimosse. C'è un enorme back-end per implementare la policy.
L'esempio più semplice e più bello che posso citare proviene da un esempio reale. Risulta che i buttafuori / baristi in un bar stavano controllando l'ID e stavano memorizzando / copiando le informazioni da donne carine. Poi avrebbero perseguitato le donne, o avrebbero aspettato che le donne avessero avuto abbastanza da bere che il loro giudizio fosse compromesso e avrebbero offerto loro un passaggio a casa. Questa è un'opportunità per una cosa brutta che accada. La barra ha implementato una soluzione ABAC. Quando le donne entravano, presentavano la loro carta d'identità a una macchina che emetteva un braccialetto o taggava la carta di credito come sopra / sotto il 21. Le uniche informazioni che il barista aveva era se la persona fosse legittima a ricevere alcol; il controllo degli accessi (all'alcol) è stato deciso sulla base di un singolo attributo (sopra / sotto 21), senza rivelare alcuna informazione aggiuntiva.
ABAC, se implementato come parte di un'infrastruttura di identità, significa che quando Mark Wallace si sposta dal gruppo di sviluppatori al gruppo del project manager, i suoi diritti di controllo degli accessi verranno aggiornati perché ha cambiato supervisore, workstation e titolo di lavoro, non perché qualcuno ha ricordato che aveva i permessi di amministratore e ha avuto il tempo di aggiornare un file di configurazione da qualche parte. Il reparto risorse umane ritiene che sia molto importante tenere traccia di chi sia il mio supervisore e hanno un interesse acquisito nel mantenere aggiornate tali informazioni; le mie autorizzazioni derivano da quel tipo di decisioni organiche.
Gli svantaggi? Non ci sono molte distribuzioni perché è ancora una specie di nuovo, e perché si ottengono tutti i benefici quando si distribuisce un'infrastruttura sufficiente. I fornitori stanno ancora giocando con la corretta implementazione dei protocolli giusti. C'è ancora molto da lavorare.
Come estensione della risposta precedente voglio aggiungere che ci sono sicuramente degli svantaggi ([filosoficamente] non c'è niente senza). Vedo il seguente:
Mark C. Wallace nell'altra risposta ha dato una spiegazione eccellente. Qui, proverei a dare un po 'della mia prospettiva personale (e filosofica) su di esso.
Eliminazione di Human dal loop: Anche se non completamente, ABAC elimina (più accuratamente riduce) umani dal ciclo di controllo dell'accesso vincolando gli attributi utente direttamente con la policy verso le autorizzazioni. In RBAC, abbiamo sempre bisogno di un utente amministrativo per aggiungere / rimuovere utenti regolari dai ruoli. Questo sovraccarico amministrativo è probabilmente la sanzione più elevata che paghiamo adattando l'RBAC.
Stabilimento del collegamento mancante: Sebbene RBAC non ne abbia parlato, una nozione implicita di attributi è ancora presente. I cambiamenti di attributi sono la ragione dietro i cambiamenti nell'assegnazione di ruolo. In RBAC, gli amministratori mantengono manualmente queste modifiche mentre assegnano o annullano l'assegnazione di utenti ao da un ruolo. ABAC riconosce questi attributi come il collegamento mancante ed evidenzia la sua presenza nella decisione di controllo degli accessi. Pertanto, ABAC fornisce maggiore trasparenza mentre ragiona sul controllo degli accessi.
Leggi altre domande sui tag access-control