Combinando il controllo degli accessi basato su capacità con SAML

Non ho familiarità con XPOLA, ma qui ci sono alcune risorse sull'utilizzo di autorizzazione basata sulle capacità sul web che dovresti leggere:

• Alan Karp di HP Labs sta svolgendo lavoro proprio in quest'area: sicurezza basata sulle capacità per i servizi Web , compreso l'utilizzo di SAML e standard simili. Dai un'occhiata al suo lavoro. Vedi, ad esempio, i seguenti documenti:

  • Da ABAC a ZBAC: l'evoluzione dei modelli di controllo di accesso .

  • Risoluzione del problema di accesso transitivo per l'architettura orientata ai servizi (discute sull'uso dei certificati SAML per la sicurezza basata sulle capacità)

  • Controllo dell'accesso basato su autorizzazione per l'architettura orientata ai servizi (ulteriori discussioni sull'uso dei certificati SAML)

• Webkeys portano sicurezza basata sulle capacità sul web. È una proposta dettagliata e dettagliata su come un URL può fungere da capacità e su come creare servizi Web su questo substrato.

• Il server Waterken è un approccio basato sulla capacità per la sicurezza Web, che consente di distribuire calcoli e coordinamento non banali tra entità che utilizzano le funzionalità degli oggetti come modello di sicurezza. Vedi, ad esempio, alcuni dei discorsi di Tyler Chiudi .

• La mailing list di cap-talk è il luogo principale in cui le persone si bloccano inviare e condividere informazioni sull'approccio basato sulla capacità alla sicurezza, inclusa la sicurezza Web.

• Per ulteriori informazioni sui sistemi basati sulle capacità, leggi la voce di Wikipedia su capacità degli oggetti , il saggio di Jonathan Shapiro su Che cos'è una capacità, comunque? . Vedi anche la sfuriata di Kragen Sitaker sulle funzionalità e sul web , o più recente di Doug Crockford parla di sicurezza basata sulle funzionalità e del web (si concentra maggiormente sulla condivisione a grana fine , anche sul lato web, piuttosto che sulla progettazione di servizi web, che penso tu sia più concentrato su).

C'è uno standard in questo spazio che implementa il controllo degli accessi basato sugli attributi (ABAC). Questo standard è XACML (eXtensible Access Control Markup Language). Fa parte di OASIS esattamente come SAML ed è stato progettato in parte per funzionare con SAML in molti scenari IAM.

Non è sicuramente più la ricerca. Ci sono molte aziende che usano XACML come Boeing, Documentum, governi, Bank of America ... Ci sono diversi fornitori in questo spazio come quello per cui lavoro - Axiomatics - o IBM, Oracle ... Infine, c'è un comunità open source piuttosto vivace (SunXACML in passato - ForgeRock e OpenAM e WSO2 oggi ...)

Infine, il NIST ha lavorato al controllo degli accessi basato sugli attributi. Il loro lavoro può essere trovato qui . È un ottimo posto per iniziare a guardarsi intorno.