设计 XACML API

Question

目前，XACML 规范定义了请求/响应协议，但如何将其集成到企业应用程序中需要解释。 我相信，除非创建一个新的开源项目来尝试围绕一组通用 API 进行开发/标准化，否则 XACML 的价值将无法实现。

对于那些熟悉 XACML 的人来说，我很想了解他们对创建这样一个项目的第一反应，他们是否愿意做出贡献以及他们认为 XACML API 会是什么样子？

Answer 1

也许我不明白这个问题，但是 XACML 的 SAML 配置文件不符合您的要求吗？ 它定义了 authzDecisionQuery 和响应记录的 SOAP 格式，这应该是 WSDL 所需的全部内容。

我围绕 Sun 的 DOD/DISA 解释器（在 forge.mil 上）构建了其中一个版本，并且围绕完全编译的实现直接将 XACML 转换为 Java 代码构建了一个更快的版本（尚未发布）。 主要目标是可读性，而不是速度，但速度大约是速度的十倍。

IMO XACML 可以工作，但作为一种供人们观看的语言绝对是糟糕的。 我更感兴趣的是找到一种针对特定问题的语言来表达 XACML 的语义，以便人们能够理解它们。 Java 在这方面轻而易举地击败了 XACML，但 Java 作为一种特定于领域的语言相当笨拙。 也许是格罗维？

PS：作为我们的第一次尝试，我们尝试了尝试控制英语（ACE）。 当我们发现 ACE 无法表达深层嵌套条件（没有括号或大括号）时，我们很快就放弃了这个想法。 尽管美国国家安全局对基于英语的政策语言有着浓厚的兴趣，但我不确定英语是否是正确的想法。

Answer 2

Sun 的 XACML 实现没有为您提供可靠的 API 吗？

http://sunxacml.sourceforge.net/

（开发已回到正轨，网站应该更新很快就可以查看 sunxacml-devl 邮件列表。

Answer 3

sunxacml 没有得到积极维护。
页面/实现上的最后一次更新是从 2006 年开始的。HERAS

-AF XACML 核心是一个积极维护的开源 XACML 实现。

Answer 4

XACML 的 SAML 配置文件和 WS-XACML 规范试图标准化 XACML PEP 和 PDP 之间的通信。 WSO2 Identity Server 是一个开源项目，并将在明年初添加此支持。

谢谢...

Answer 5

不幸的是，WS-XACML 早已消亡。 XACML 的 SAML 配置文件是当今唯一的标准化方法，但这更多的是关于通信而不是 API 的易用性。

在 Axiomatics，我们确实开发了一个简单的 SDK，但它仍然是我们特定于供应商的。

我知道 Oracle 和 Nextlabs 推动了一个名为 OpenAZ 的强有力的倡议。 他们的目标是为 PEP 定义更简单的 API。 这可能就是您想要查看的内容。

链接：

• Axiomatics 简单 SDK 演示：http://www.youtube.com/watch?v=Z_2M775uFxo< /a>
• OpenAZ：http://openliberty.org/wiki/index.php/OpenAz_Main_Page

James，我会认真考虑 OpenAZ。 每隔一周的星期四会有一次电话会议，欢迎您参加。