web-dev-qa-db-ja.com

機能ベースのアクセス制御とSAMLの組み合わせ

IAM(Identity&Access Management)の簡略化された方法論に要約するために、ID、PKI、およびアクセス制御に関するさまざまな調査を検討してきました。

多くの場所でポップアップするものの1つは、次のように機能ベースのアクセス制御です。現在のアクセス許可は、要求に応じてチケットまたは証明書にエンコードされます。これは特定のトランザクションを実行するための一時的な許可を与えることを意味するため、多くの現代の研究はこれを調査対象として指摘しています。多くの場合、トランザクションの承認は、IDの確立よりも重要です。

SAMLは、そのようなユースケースを処理するのに十分な柔軟性があり、SAML属性としての機能をエンコードしているように思えます。また、組織全体でロール定義(またはID)を同期させようとするのは無駄に思われるため、機能はフェデレーションシナリオではロールよりも優れていると思います。

ただし、SAMLと機能の組み合わせに関する研究、製品、またはプロトタイプすらほとんど見つかりませんでした。

私は [〜#〜] xpola [〜#〜] を見始めましたが、私は不思議に思っています:

  • 他に見ておくべき研究、論文、製品、プロジェクトはありますか?
  • 既製のIAMまたはフェデレーション製品のいずれかが機能ベースの機能を提供していますか?
6
Rolf Rander

私はXPOLAに精通していませんが、ここでは 機能ベースの承認 を使用してWebで使用する際の参考資料をいくつか紹介します。

2
D.W.

このスペースには、属性ベースのアクセス制御(ABAC)を実装する標準が1つあります。その標準は [〜#〜] xacml [〜#〜] (eXtensible Access Control Markup Language)です。また、SAMLとまったく同じようにOASISの一部であり、多くのIAMシナリオでSAMLと連携するように部分的に設計されています。

それは間違いなくもう研究ではありません。ボーイング、Documentum、政府、バンクオブアメリカなど、XACMLを使用している企業はたくさんあります。この分野には、私が働いているベンダー(Axiomatics)やIBM、Oracleなど、いくつかのベンダーがあります...最後に、かなり活発なオープンソースコミュニティ(昔のSunXACML-ForgeRockとOpenAM、そして今日のWSO2 ...)

最後に、NISTは属性ベースのアクセス制御に取り組んできました。彼らの作品は here にあります。それは周りを見回すのに最適な場所です。

0
David Brossard