機能ベースのアクセス制御とSAMLの組み合わせ
IAM(Identity&Access Management)の簡略化された方法論に要約するために、ID、PKI、およびアクセス制御に関するさまざまな調査を検討してきました。
多くの場所でポップアップするものの1つは、次のように機能ベースのアクセス制御です。現在のアクセス許可は、要求に応じてチケットまたは証明書にエンコードされます。これは特定のトランザクションを実行するための一時的な許可を与えることを意味するため、多くの現代の研究はこれを調査対象として指摘しています。多くの場合、トランザクションの承認は、IDの確立よりも重要です。
SAMLは、そのようなユースケースを処理するのに十分な柔軟性があり、SAML属性としての機能をエンコードしているように思えます。また、組織全体でロール定義(またはID)を同期させようとするのは無駄に思われるため、機能はフェデレーションシナリオではロールよりも優れていると思います。
ただし、SAMLと機能の組み合わせに関する研究、製品、またはプロトタイプすらほとんど見つかりませんでした。
私は [〜#〜] xpola [〜#〜] を見始めましたが、私は不思議に思っています:
- 他に見ておくべき研究、論文、製品、プロジェクトはありますか?
- 既製のIAMまたはフェデレーション製品のいずれかが機能ベースの機能を提供していますか?
私はXPOLAに精通していませんが、ここでは 機能ベースの承認 を使用してWebで使用する際の参考資料をいくつか紹介します。
HP LabsのAlan Karp は、まさにこの領域で作業を行っています。SAMLおよび類似の標準の使用を含む、Webサービスの機能ベースのセキュリティ。彼の作品を見てください。たとえば、彼の次の論文を参照してください。
サービス指向アーキテクチャーの推移的アクセス問題の解決 (機能ベースのセキュリティのためのSAML証明書の使用についての議論)
サービス指向アーキテクチャーのための許可ベースのアクセス制御 (SAML証明書の使用の詳細)
Webkeys は、機能ベースのセキュリティをWebにもたらします。これは、URLが機能としてどのように機能するか、およびこのサブストレート上でWebサービスを構築する方法についての詳細で効果的な提案です。
Waterken server は、Webセキュリティへの機能ベースのアプローチであり、オブジェクト機能をセキュリティモデルとして使用して、エンティティ間の重要な計算と調整を展開できます。たとえば、 Tyler Close からの講演の一部を参照してください。
cap-talkメーリングリスト は、機能担当者が集まり、Webセキュリティを含むセキュリティへの機能ベースのアプローチに関する情報を共有する主要な場所です。
機能ベースのシステムの背景については、ウィキペディアの オブジェクト機能に関するエントリ 、Jonathan Shapiroによる に関するエッセイをご覧ください。機能、とにかく? 。 機能とWebに関するKragen Sitakerの発言 、または 機能ベースのセキュリティに関するDoug Crockfordの最近の講演も参照してください。ウェブ (あなたがより焦点を当てていると私が思うウェブサービスの設計よりも、ウェブ側を含むきめの細かい共有により焦点を当てています)。
このスペースには、属性ベースのアクセス制御(ABAC)を実装する標準が1つあります。その標準は [〜#〜] xacml [〜#〜] (eXtensible Access Control Markup Language)です。また、SAMLとまったく同じようにOASISの一部であり、多くのIAMシナリオでSAMLと連携するように部分的に設計されています。
それは間違いなくもう研究ではありません。ボーイング、Documentum、政府、バンクオブアメリカなど、XACMLを使用している企業はたくさんあります。この分野には、私が働いているベンダー(Axiomatics)やIBM、Oracleなど、いくつかのベンダーがあります...最後に、かなり活発なオープンソースコミュニティ(昔のSunXACML-ForgeRockとOpenAM、そして今日のWSO2 ...)
最後に、NISTは属性ベースのアクセス制御に取り組んできました。彼らの作品は here にあります。それは周りを見回すのに最適な場所です。