Технология Клиент-Сервер 2004'3
	Home Поиск Издания Контакты k-press.ru

Продолжается подписка на наши издания! Вы не забыли подписаться?

XML Security: управление доступом к информации с помощью XACML

Автор: Manish Verma (mverma@secf.com)

Цели, архитектура и основные концепции eXtensible Access Control Markup Language

Предоставление нужным людям нужных прав доступа к информации так же важно (если не важнее), как собственно наличие информации.

				eXtensible Access Control Markup Language – или XACML – предоставляет механизм создания политик и правил управления доступом к информации. 

Управление доступом и XACML

XACML – это попытка создания стандарта для систем авторизации и управления доступом. Большая часть существующих систем реализуют управление доступом и авторизацию на свой собственный манер.

Типичный сценарий управления доступом и авторизации включает три главные сущности – субъект, ресурс и действие – а также их атрибуты. Субъект запрашивает разрешение на некоторое действие над ресурсом. Например, в запросе доступа "разрешить финансовому менеджеру создавать файлы в папке счетов на финансовом сервере" субъектом является "финансовый менеджер", целевым ресурсом – "папка счетов на финансовом сервере", а действием – "создавать файлы".

В проприетарных системах управления доступом информация об этих сущностях и их атрибутах хранится в репозиториях. Репозитории носят название Access Control List (ACL). В разных системах ACL реализованы по-разному, что затрудняет обмен информацией и совместное ее использование.

Цели XACML

XACML нацелен на следующее:

• Создать переносимый и стандартный способ описания сущностей и их атрибутов.
• Предоставить механизм, позволяющий более детализированное управление, чем простое разрешение или запрет доступа – то есть механизм, позволяющий наряду с запретом или разрешением производить некие действия "до" или "после".

XACML и SAML: В чем сходство и различия?

Архитектура XACML тесно переплетается с архитектурой SAML. У них много общих концепций и общая область деятельности. Однако проблемы, решаемые ими в рамках общей области применения, различаются. В то время как SAML занимается авторизацией и предоставляет механизм передачи решений по авторизации и аутентификации между кооперированными сущностями, XACML фокусируется на механизме достижения этих решений.

Стандарт SAML предоставляет интерфейсы, позволяющие третьим лицам отправлять запросы на аутентификацию и авторизацию. Как эти запросы обрабатывать внутри – задача для стандарта XACML. XACML не только обрабатывает запросы на авторизацию, но и определяет механизм создания полной инфраструктуры правил, политик и наборов политик для получения решений по авторизации.

Поскольку SAML и XACML занимаются почти одним и тем же, очень хотелось бы, да и весьма вероятно, что в будущем эти две спецификации сольются в одну.

.........

Заключение

Управление доступом приходится использовать практически во всех приложениях. XACML – это попытка стандартизации этой предметной области. XACML довольно многословен, но если понять основные концепции, не так сложно использовать его для создания собственных механизмов управления доступом.

Copyright © 1994-2016 ООО "К-Пресс"