Combinando il controllo degli accessi basato su capacità con SAML

6

Ho esaminato varie ricerche su identità, PKI e controllo degli accessi cercando di ridurla a una metodologia semplificata per IAM (Identity & Access Management).

Una cosa che si apre in molti punti è il controllo dell'accesso basato sulle funzionalità, come in: le tue autorizzazioni attuali sono codificate in un ticket o in un certificato che segue la richiesta. Un sacco di ricerca contemporanea sta puntando a questo come qualcosa a cui guardare, in quanto significa dare l'autorizzazione temporanea per eseguire una determinata transazione. Autorizzare la transazione è spesso più importante della creazione dell'identità.

Mi sembra che SAML sia abbastanza flessibile da gestire tali casi d'uso, funzionalità di codifica come attributi SAML. Credo inoltre che le capacità siano una corrispondenza migliore in uno scenario federato rispetto ai ruoli, poiché cercare di sincronizzare le definizioni dei ruoli (o anche le identità) tra le organizzazioni sembra inutile.

Tuttavia, ho trovato pochissime ricerche, prodotti o persino prototipi sulla combinazione di SAML e funzionalità.

Ho iniziato a cercare XPOLA , ma mi chiedo:

  • ci sono altre ricerche, documenti, prodotti o progetti che dovrei dare un'occhiata?
  • i prodotti IAM o federativi disponibili sul mercato forniscono funzionalità basate sulle funzionalità?
posta Rolf Rander 10.03.2012 - 15:22
fonte

2 risposte

2

Non ho familiarità con XPOLA, ma qui ci sono alcune risorse sull'utilizzo di autorizzazione basata sulle capacità sul web che dovresti leggere:

risposta data 13.03.2012 - 23:54
fonte
0

C'è uno standard in questo spazio che implementa il controllo degli accessi basato sugli attributi (ABAC). Questo standard è XACML (eXtensible Access Control Markup Language). Fa parte di OASIS esattamente come SAML ed è stato progettato in parte per funzionare con SAML in molti scenari IAM.

Non è sicuramente più la ricerca. Ci sono molte aziende che usano XACML come Boeing, Documentum, governi, Bank of America ... Ci sono diversi fornitori in questo spazio come quello per cui lavoro - Axiomatics - o IBM, Oracle ... Infine, c'è un comunità open source piuttosto vivace (SunXACML in passato - ForgeRock e OpenAM e WSO2 oggi ...)

Infine, il NIST ha lavorato al controllo degli accessi basato sugli attributi. Il loro lavoro può essere trovato qui . È un ottimo posto per iniziare a guardarsi intorno.

    
risposta data 18.10.2013 - 10:31
fonte