XACML 作为现有应用程序的演变步骤

Question

我已经开始对 XACML 和外部授权进行一些研究。现在我有一个使用 RBAC 模型的现有应用程序。然而，该实现有很多缺点（角色不容易定义，角色太粗粒度）。

XACML 是一个不错的替代方案吗？是否有任何现有应用程序已从 RBAC 源切换到 XACML？有什么缺点吗？

Answer 1

免责声明：我是 IBM 的一名开发人员，我致力于开发广泛使用 XACML 的产品（Tivoli Security Policy Manager）。我对 XACML 有点偏见。

我认为 XACML 是一个很好的替代方案，主要是因为它可以支持几乎任何安全模型。我建议在 XACML 中对现有 RBAC 解决方案进行建模（请参阅 配置文件），然后将其扩展以在您的业务需求需要时包含更细粒度的访问控制。

将授权代码外部化到策略中具有额外的优势，即无需重新编译即可修改应用程序的安全模型。

<块引用>

是否有任何现有应用程序已从 RBAC 源切换到 XACML？

不幸的是，我不知道任何具体的例子，至少是我可以公开谈论的例子。有一个 IBM 内部项目分配了一个月的时间来实现其授权模块，但通过使用我们的 XACML 实现将其外部化，一周内就完成了。这显然与您的示例不同，因为它是一个“绿色领域”开发项目，但强调您正在考虑的一般方法有很多好处。

Answer 2

我是 WSO2 的安全架构师，该公司开发了 WSO2 Identity Server，这是一个开源身份和权利管理服务器，具有 XACML 支持。

我也相信 XACML 是从应用程序代码外部化授权逻辑的一个很好的替代方案。我们最近与少数客户合作 [其中一位是财富 100 强] - 从不同的专有授权规则转向 XACML。

Answer 3

我分别同意 IBM 和 WS02 同行的观点。我为公理学工作。我们专注于基于 XACML 的授权。

我们有客户从 RBAC 迁移到 ABAC。有些人决定使用 XACML 的 RBAC 配置文件作为中间步骤 (http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html)。有趣的是，您可以使用现有的 RBAC 基础设施来构建 ABAC。

到目前为止我们还没有看到任何缺点。如果说有什么不同的话，那就是客户很快就能看到 XACML 的投资回报率：它更便宜、更灵活。您可以使用多种实现（您可以将 IBM、WS02 和 Axiomatics 混合在一起，它仍然可以工作）并且得到业界的大力支持。

查看 XACML TC 页面了解更多信息：http://www.oasis-open.org/委员会/xacml/