Autorizzazione centralizzata con i fornitori di servizi distribuiti

1

Sto pensando di implementare un single sign on service con una gestione centralizzata delle autorizzazioni per una rete distribuita di service provider (quindi autenticazione e autorizzazione).

La parte relativa all'autenticazione è in gran parte risolta (probabilmente utilizzerà SAML). La parte più difficile è l'implementazione di un'autorizzazione centralizzata, se possibile.

L'unica possibilità che vedo per fare questo lavoro sarebbe che i fornitori di risorse chiedono al server di autorizzazione le autorizzazioni di un utente specifico. Il provider di risorse dovrà quindi mappare tali autorizzazioni in regole locali per l'utente. Il problema con questo è che è ancora fino al fornitore di risorse rispettare e implementare la politica fornita dal server di autorizzazione.

Esiste una soluzione per fare in modo che il server centrale applichi le autorizzazioni / i criteri utente?

    
posta Lukas_Skywalker 25.05.2015 - 21:42
fonte

1 risposta

0

Sì, c'è una soluzione là fuori ed è persino uno standard. Si chiama XACML , l'eXtensible Access Control Markup Language. Proprio come SAML, è definito da OASIS . Laddove SAML si concentra su autenticazione, federazione e autorizzazione a grana grossa, XACML si concentra su autorizzazioni a grana fine basate su attributi e criteri.

Ad esempio, puoi definire criteri come:

A user with role == manager can do the action == view on a resource of type == medical record.

XACML definisce il linguaggio della politica, lo schema richiesta / risposta e l'architettura. Il seguente diagramma mostra l'architettura. Ha una nozione di un punto di decisione politica (PDP) che è il server di autorizzazione che può essere interrogato da più posizioni nella tua architettura, ad es. un livello di servizio, un'API o persino un livello dati.

LamaggiorpartedelleimplementazioniXACMLfornisceun'APIbinarioPermesso/Nega-anch'essapartedellostandardXACML.L'implementazionesucuilavoro,Axiomatics,offreancheun'APIaperta,ades."Cosa può fare Alice?" che restituisce un elenco di permessi indietro piuttosto che una semplice risposta / nega.

    
risposta data 26.05.2015 - 13:46
fonte

Leggi altre domande sui tag